Security Onion 설치 및 기본 사용법이 선행되어 있어야 함
출처 : https://koromoon.blogspot.com/2020/09/security-onion.html
VMware 환경에서 Snort 룰 탐지 테스트 하기
- 웹 접속 : http://10.10.10.10:9999/base/base_main.php
1. Snort 룰 저장하기
- Vmware ( Snort of Windows 7 x64) 내 user.rules 파일 수정
-> 파일 위치 : C:\Snort\rules\user.rules // notepadd++에 실행되어 있음
2. Snort 실행
- cmd 창에서 아래 명령어 실행
- 룰 수정할때 마다 snort 프로세스를 재시작 해야한다.
- 실행되어 있다면 Ctrl + C 로 정지 후 재시작 한다.
| cd c:\snort\bin snort -c c:\snort\etc\snort.conf -l c:\snort\log -i 1 |
- 아래와 같이 Commencing packet processing 문구가 보이면 정상실행
3. 탐지 Test 하기
- 정상적으로 snort 가 작동하는지 확인하기 위해 탐지 Test 를 한다.
(로컬[218.232.110.212]에서 Vmware 내부[192.168.239.135] 로 패킷 전송]
- vmware 내 win7 IP는 192.168.239.135 로 설정되어 있으나 DHCP 구성으로 변경될 수 있으니, 테스트 시 재 확인 한다.
Ping 탐지 Test
- VMware 내 주소 localhost/base/로 접속 후 Snort에 탐지되었는지 확인한다.
- 탐지로그 내에 상세보기 및 pcap 파일 다운로드도 가능하다.
4. 그 밖에 옵션 설정
- EXTERNAL 과 HOME_NET 설정을 snort.conf 파일에서 설정 가능하다.
- HOME_NET 은 192.168.239.0/24로 설정되어 있으며, 필요시 수정 후 Test 가능하다.
'IT > Tip' 카테고리의 다른 글
| LG 그램(gram) 노트북 에어팟 연결 잡음 : 노이즈 해결 (WIN10) (0) | 2022.03.15 |
|---|---|
| LED-it-GO Leaking (a lot of) Data from Air-Gapped Computers via the (small) Hard Drive LED (0) | 2021.11.09 |
| [DB] 스플렁크(Splunk) 쿼리 학습 (0) | 2021.06.09 |
| [Tip] 오라클 에러코드 :: Oracle Error code (0) | 2021.01.18 |
| 글의 가독성을 높이는 8가지 방법 (0) | 2020.12.24 |