vmware esxi(vSphere Client)에 security onion 설치 ,snort 문법

security onion 설치해야한다. 

최소 100gb 램은 4기가 정도

 

 

security onion 14.04.4.2

 

를다운한다

 

 

 

 

 

 

vmware esxi6.0 키기 

->pfsense->네트워킹구성

 

 

오른쪽 위 네트워킹 추가

 

 

 

 

가상시스템->

 

 

 

 

 

 

 

 

 

 

 

하기

 

(VSwitch2)속성누르기

 

 

 

 

속성에서->span누르고 편집->

->보안

다동의하고 체크하기

 

 

 

 

 

->wire shark에서->

톱니바퀴 누르기

enable promiscuous mode on all interfaces

체크 꼭하기

(wireshark)

 

 

 

 

 

 

 

 

 

--

 

 

네트워크를 설정햇으니 이제

->새가상시스템 우클릭해서 진행 -> 표준모드

 

 

 

 

 

 

 

 

 

 

 

진행하기 위와같은 설정들로

 

 

 

 

 

 

 

 

 

 

 

 

 

esc esc-> enter 누르면된다.

(안되면 전원껏다가 다시키고 진행)

 

 

 

 

 

enter후

 

기다리기

yes

 

 

 

 

 

 

오래동안 진행합니다.

 

 

무조건 영어로 진행합니다.

한국어로하면 오류확률매우높다

 

 

 

 

진행

 

 

 

 

 

 

 

 

 

 

무조건 영어로

 

 

continue 누르기

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

진짜 겁나게오래걸리니까 기다리면된다

 

 

 

 

snort(스노트) 기본적인 사용 문법---------------------------------

[패턴 매칭 기반 IDS]------------------------------

 

 

&HOME_NET : 내부 IP 주소:192.168.0

&EXTERNAL_NET : 외부 IP 주소

 

src->dest

src <> dest

 

alert tcp any any > any any(msg:"this it alert"; content:|00 4C A1|;)

 

alert tcp any any > any any(msg:"this it alert"; content:"hacker";)

해커라는 단어를 탐지하는데 시간이걸릴수도있다

그러면

추가를한다

                     

 

alert tcp any any > any any(msg:"this it alert"; content:"hacker"; offset:3; depth:10;)

(source )                   (destination)

헤더는             >     여기까지 (부터 옵션이라고한다)

(여기서 소스는  원천지라고생각하면된다)

패킷의 단위가 tcp , source 가 any , 목적지가 any일떄

시작이 3byte부터 10byte까지 hacker라는 단어가있으면 alert이라는 단어를 출력해라

 

 

offset과depth 는 거의 같이오는애라고생각하면된다

 

 

 

 

 

 

 

alert tcp any any > any any(msg:"this it alert"; content:"hacker"; offset:3; depth:10; content:|00 11 22|; distance:20; within:30;)

 

00 11 22 라는 바이너리 코드를 찾는데

 

해커라는 단어를 포함된것을 3~10byte

distance 와 within 바늘과 실같은존재

 

nocase; : 대소문자를 구분하지마라

 

 

 

 

SPAN------

트래픽을 복사(포트미러링)

패킷,트래픽을 탐지