suricata¸¦ ÀÌ¿ëÇÑ IDS/IPS ½Ã½ºÅÛ ±¸¼ºÇϱâ

   Á¶È¸ 26416   Ãßõ 6    

오픈소스 IDS/IPS 프로그램인 suricata를 이용해서 침입탐지 및 침입방지 시스템을 만드는 방법입니다.

최근에  IDS/IPS관련해서 작업이 생겨서 간단히 정리해 봤습니다.
CentOS6 기준으로 작성되었으며 일단 IDS로 운영하는 부분까지 작성 되었습니다.
내용이 많아서 링크로 대신 합니다.
iwill 2015-06
ÁÖ¿Á°°Àº Ÿ·¡±Û ´öºÐ¿¡ ¼³Ä¡±îÁö ¿Ô½À´Ï´Ù.  fast.log ¿¡ ÂïÈ÷´Â "***** invalid checksum " À̶ó°í ¹Ý¦¹Ý¦ °Å¸®´Â ¸Þ¼¼Áö´Â suricata·Î ¿ø°Ý Á¢¼Ó½Ã ¹ß»ýÇϴµ¥ ...¹¹Àϱî¿ä?

/etc/suricata/rules Æú´õÀÇ decoder-events.rules ¿¡¼­ üũ¼¶¿¡ ÁÖ¼® ó¸®Çϸé fast.log ¿¡ ¸ðµç üũ¼¶ ¸Þ¼¼Áö°¡ »ç¶óÁö´Âµ¥¡¦ÀÌ°Ô Á¤»óÀϱî¿ä?
stone92 2015-06
suricata°ø½Ä¹®¼­¿¡ µû¸£¸é invalid checksum Àº hardware°¡ tcp checksum offlodingÀ» Áö¿øÇÏ´Â °æ¿ì
¹ß»ýÇÒ ¼ö ÀÖ´Ù°í ÇÕ´Ï´Ù.
µû¶ó¼­ µÎ °¡Áö ¹æ¹ýÀ¸·Î alertÀ» ¾ø¾Ù ¼ö ÀÖ½À´Ï´Ù.
ÇÑ°¡Áö´Â suricataȯ°æ¼³Á¤ ÆÄÀÏ¿¡¼­
checksum_validation: yes =>  no ·Î º¯°æÇØ ÁÖ½Ã¸é µË´Ï´Ù.
¹°·Ð ruleÆÄÀÏ¿¡¼­ ÁÖ¼®Ã³¸®Çصµ µË´Ï´Ù. ÁÖ¼®Ã³¸®ÇÏ¼Ì´Ù¸é ´ç¿¬È÷ ·Î±×¿¡ ³²Áö¾Ê½À´Ï´Ù.

µÎ¹ø°·Î Çϵå¿þ¾îÀÇ ¼³Á¤À» ¹Ù²Ù´Â °ÍÀε¥ ÀÌ°ÍÀº º°·Î ±ÇÇÏ°í ½ÍÁö ¾Ê½À´Ï´Ù.
checksum À» OS ¿¡¼­ ó¸®ÇÏ°Ô Çϴ°ÍÀε¥ ³×Æ®¿öÅ© ÄÁÆ®·Ñ·¯¿¡¼­ ÇÏ´Â°Ô ³´½À´Ï´Ù
±×·¡µµ º¯°æÇϽðڴٸé..
ethtool·Î ¾Æ·¡¿Í °°ÀÌ º¯°æÇØ ÁÖ½Ã¸é µË´Ï´Ù.
ethtool --offload eth0 rx off tx off


Á¦¸ñPage 22/28
2017-07   30329   ¼¼¹ú½­
2014-06   30596   ȲÁø¿ì
2019-04   30598   °£Àå°ÔÀå
2022-08   30703   µö·¯´×¼­¹ö
2017-07   31005   ¼¼¹ú½­
2015-02   31053   ȲÁø¿ì
2018-04   31165   ¹Ú¹®Çü
2019-05   31522   ½ºÄµl¹ÎÇö±â
2022-04   31531   È­Á¤Å¥»ï
2023-11   31668   ĸƾ¾Æ¸Þ¸®Ä«³ë
2015-01   31881   ±èÁØ¿¬
2015-08   32065   witbox
2022-05   32197   µö·¯´×¼­¹ö
2017-07   32216   stone92±è°æ¹Î
2014-11   32416   ä¼±ÀÏ
2017-04   33097   ä¼±ÀÏ
2022-09   33205   µö·¯´×¼­¹ö
2022-10   33317   ¹Ú¹®Çü
2015-04   33345   HEUo±è¿ë¹Î
2023-02   33423   µö·¯´×¼­¹ö