suricata를 이용한 IDS/IPS 시스템 구성하기 :: 2cpu, 지름이 시작되는 곳!

PDS more

쓰기

suricata를 이용한 IDS/IPS 시스템 구성하기

stone92김경민

2015-06

2015-06-19 11:45:57

조회 27054 추천 6

오픈소스 IDS/IPS 프로그램인 suricata를 이용해서 침입탐지 및 침입방지 시스템을 만드는 방법입니다.

최근에 IDS/IPS관련해서 작업이 생겨서 간단히 정리해 봤습니다.

CentOS6 기준으로 작성되었으며 일단 IDS로 운영하는 부분까지 작성 되었습니다.

내용이 많아서 링크로 대신 합니다.

http://www.nuxinfo.net/suricata%EB%A5%BC-%EC%9D%B4%EC%9A%A9%ED%95%9C-idsips-%EA%B5%AC%EC%B6%95%ED%95%98%EA%B8%B0/



iwill 2015-06 주옥같은 타래글 덕분에 설치까지 왔습니다. fast.log 에 찍히는 "*** invalid checksum " 이라고 반짝반짝 거리는 메세지는 suricata로 원격 접속시 발생하는데 ...뭐일까요? /etc/suricata/rules 폴더의 decoder-events.rules 에서 체크섬에 주석 처리하면 fast.log 에 모든 체크섬 메세지가 사라지는데…이게 정상일까요? 주옥같은 타래글 덕분에 설치까지 왔습니다. fast.log 에 찍히는 "*** invalid checksum " 이라고 반짝반짝 거리는 메세지는 suricata로 원격 접속시 발생하는데 ...뭐일까요? /etc/suricata/rules 폴더의 decoder-events.rules 에서 체크섬에 주석 처리하면 fast.log 에 모든 체크섬 메세지가 사라지는데…이게 정상일까요?



stone92 2015-06 suricata공식문서에 따르면 invalid checksum 은 hardware가 tcp checksum offloding을 지원하는 경우 발생할 수 있다고 합니다. 따라서 두 가지 방법으로 alert을 없앨 수 있습니다. 한가지는 suricata환경설정 파일에서 checksum_validation: yes => no 로 변경해 주시면 됩니다. 물론 rule파일에서 주석처리해도 됩니다. 주석처리하셨다면 당연히 로그에 남지않습니다. 두번째로 하드웨어의 설정을 바꾸는 것인데 이것은 별로 권하고 싶지 않습니다. checksum 을 OS 에서 처리하게 하는것인데 네트워크 컨트롤러에서 하는게 낫습니다 그래도 변경하시겠다면.. ethtool로 아래와 같이 변경해 주시면 됩니다. ethtool --offload eth0 rx off tx off suricata공식문서에 따르면 invalid checksum 은 hardware가 tcp checksum offloding을 지원하는 경우 발생할 수 있다고 합니다. 따라서 두 가지 방법으로 alert을 없앨 수 있습니다. 한가지는 suricata환경설정 파일에서 checksum_validation: yes => no 로 변경해 주시면 됩니다. 물론 rule파일에서 주석처리해도 됩니다. 주석처리하셨다면 당연히 로그에 남지않습니다. 두번째로 하드웨어의 설정을 바꾸는 것인데 이것은 별로 권하고 싶지 않습니다. checksum 을 OS 에서 처리하게 하는것인데 네트워크 컨트롤러에서 하는게 낫습니다 그래도 변경하시겠다면.. ethtool로 아래와 같이 변경해 주시면 됩니다. ethtool --offload eth0 rx off tx off

로그인 하시면 댓글을 남길 수 있습니다

쓰기

강좌게시판

쓰기

22/28

번호	제목Page 22/28	글쓴이	날짜	조회	추천
137	[수정-내용추가]MS 오피스 2013 이상 등록 방법 (5)	누굴까	2016-12	30207	5
[수정-내용추가]MS 오피스 2013 이상 등록… (5) 2016-12 30207 1 누굴까
136	거짓말, 새빨간 거짓말, SSD 벤치마크 결과 (5)	간장게장	2018-02	30216	1
거짓말, 새빨간 거짓말, SSD 벤치마크 결과 (5) 2018-02 30216 1 간장게장
135	ELF 링킹과 로딩 실험 (1)	세벌쉭	2017-07	30857	2
ELF 링킹과 로딩 실험 (1) 2017-07 30857 1 세벌쉭
134	윈도우 원격데스크톱 연결 포트 변경하기. (10)	황진우	2014-06	31208	10
윈도우 원격데스크톱 연결 포트 변경하기. (10) 2014-06 31208 1 황진우
133	자습서: TinyCore RedPill(TCRP) 로더를 사용하여 DSM 7.x 설치/마이그레이션 (13)	화정큐삼	2022-05	31376	4
자습서: TinyCore RedPill(TCRP) 로더를 … (13) 2022-05 31376 1 화정큐삼
132	ELF 파일 형식 버전 1.2 (1)	세벌쉭	2017-07	31570	2
ELF 파일 형식 버전 1.2 (1) 2017-07 31570 1 세벌쉭
131	520b 섹터로 포맷된 디스크 512b 섹터로 바꾸기 (12)	간장게장	2019-04	31692	10
520b 섹터로 포맷된 디스크 512b 섹터로 … (12) 2019-04 31692 1 간장게장
130	Ubuntu 20.04버전에서 rsyslog 구축하는 방법	딥러닝서버	2024-02	31800	2
Ubuntu 20.04버전에서 rsyslog 구축하는 … 2024-02 31800 1 딥러닝서버
129	프로그램 개발강좌 #1 (11)	황진우	2015-02	31841	27
프로그램 개발강좌 #1 (11) 2015-02 31841 1 황진우
128	Fortigate Traffic Shaper 설정	딥러닝서버	2022-08	32209	0
Fortigate Traffic Shaper 설정 2022-08 32209 1 딥러닝서버
127	작업 스케줄러와 EmptyStandbyList를 이용하여 캐시메모리 자동 정리 하는법 (2)	딥러닝서버	2024-02	32340	0
작업 스케줄러와 EmptyStandbyList를 이용… (2) 2024-02 32340 1 딥러닝서버
126	쓸만한 디스크 백업/이미지/클론 프로그램 --- Macrium Reflect --- (11)	박문형	2018-04	32364	0
쓸만한 디스크 백업/이미지/클론 프로그램… (11) 2018-04 32364 1 박문형
125	Torque와 OBD를 이용한 스마트 게이지 만들기(2부) (2)	김준연	2015-01	32488	8
Torque와 OBD를 이용한 스마트 게이지 만… (2) 2015-01 32488 1 김준연
124	Microserver gen8 사용자는 이거 하나면 행복합니다. (8)	witbox	2015-08	32612	6
Microserver gen8 사용자는 이거 하나면 … (8) 2015-08 32612 1 witbox
123	SAS 2008 기반 레이드카드 레거시&UEFI 부팅 드라이브 사용하기 (13)	스캔l민현기	2019-05	32807	5
SAS 2008 기반 레이드카드 레거시&UEFI 부… (13) 2019-05 32807 1 스캔l민현기
122	헤놀로지 RedPill tinyCore Native DSM 7.1 적용 가이드(업데이트, 신규설치) (40)	화정큐삼	2022-04	32825	5
헤놀로지 RedPill tinyCore Native DSM 7.… (40) 2022-04 32825 1 화정큐삼
121	PfSense 를 이용한 OpenVPN서버 구축하기(1편) (10)	stone92김경민	2017-07	32895	13
PfSense 를 이용한 OpenVPN서버 구축하기… (10) 2017-07 32895 1 stone92김경민
120	안드로이드 디컴파일 후 Smali 파일 수정. - 안형곤님 (4)	채선일	2014-11	33267	7
안드로이드 디컴파일 후 Smali 파일 수정.… (4) 2014-11 33267 1 채선일
119	윈도우 서버에서 인텔 내장랜(I219-V) 드라이버 설치 (2)	딥러닝서버	2022-05	33494	0
윈도우 서버에서 인텔 내장랜(I219-V) 드… (2) 2022-05 33494 1 딥러닝서버
118	MS windows 별 프로세서 요구사항 (2)	박문형	2022-10	33847	2
MS windows 별 프로세서 요구사항 (2) 2022-10 33847 1 박문형