vmware esxi(vSphere Client)에 pfsense 2.4.5를 사용하여 snort 설정 -2 용어 정리
우리가 지금 설정하는것
vmware workstion -> vmware ESXi ( vsphere 사용) -> pfsense
vmware workstion 안에 ESXi 실행한걸 vsphere 접속 했고 안에 pfsense 설치및 설정
우리가 쓰고있는 ESXi는
VMware(회사이름)에서 만든 소프트웨어
쓰고있는 가상머신 프로그램(VMware Workstation)
vmware workstation
vmware ESXi
가상머신을 만드는데 효율적으로 가상머신위에
여러개의 가성머신들을 만드는 소프트웨어
또거기에 pfsense를 설치하는게아니라
esxi 하나만들고 그위에 pfsense 설치
다루기위해서 일반 콘솔창
vsphere
ESXi 를 좀더 편하고 쉽게 다루기위해서 나온 클라이언트 소프트웨어
Esxi의 ip주소와 ID(root)와 pw를 가지고 접속하여 각종 os설치 및 네트워크 환경 구성
-----------------
snort는
IP 네트워크에서 프로토콜 분석, 콘텐츠 검색/비교 작업 등을 실시간 트래픽 분석과 패킷 로깅 작업을 수행하여 다양한 공격과 스캔을 탐지하는 장비
보안장비
1.방화벽
방화벽 장비를 사용해서
특정 정책을 가지고 통과 및 블럭
특정포트열고,차단하고
1차적 보안장비
2.IDS
침해 탐지 시스템
intrusion Detection System
(Snort 대중적으로 쓰이고, 오픈소스, 효율적)
3.IPS
침해 차단 시스템(대응까지해주는 놈)
intrusion Prevention system
sort는 ids,ips 둘다 이용이가능하다.
-----------
pfSense(utm)
통합으로 관리하고 설정하고 사용하는 프로그램중 하나
오픈소스이기때문에 대중적으로 많이 쓰이고 기업에서도 보안장비로 많이 사용하고 있다.
UTM
(Unified Threat Management)
네트워크에 있는 하나의 디바이스나 서비스에서 다양한 보안기능을 제공하여 간단한 방식으로 보안 위협으로부터 사용자를 보호하는 통합 관리 시스템
그전에했던 설정 이어서 진행_----
wan settings가기
탐지를 할떄 최적화 시키는것
자원을 아낄수있고 성능을끌어올린다.
2개체크
save하기
alerts 를가보면
설정했던 로그가 밑에 남아 탐지해주는 역할을해준다.
download 버튼으로 다운받아서정리해서 프린트도할수있다
blocked 은 차단된걸 보여주고
pass lists는 통과한내용
VLAN10_Web 더블클릭으로 들어가기
categories가기
모두체크
ET open Rules--
emerging-web_server.rules
web_specific_apps
Snort Text Rules--
snort_exploit-kit.rules
exploit
scan
server-webapp
web-cgi
web-coldfusion
web-frontpage
web-misc
Snort SO Rules--
server-webapp.so
위에사항 전부체크하세요~ (rules뒷부분생략햇어요) 그리고 save
체크두개 진행후 save
----------------------------------------
firewall -> aliases
overseas_branch
save -> apply change
-----------------
다시 snort로가기
service -> snort
->passlists
+add 버튼 누르기
passlist_22399
whitelist_USA_branch
이런식으로 진행이됫다