오픈소스 IDS(침입탐지시스템) Snort_windows용 설치하기

설치파일.7z.001

설치파일.7z.002

설치파일.7z.003

설치파일.7z.004

설치파일.7z.005

설치파일.7z.006

설치파일.7z.007

설치파일.7z.008

설치후 복사하기.7z

7집설치하시고 설치파일 .7z.001 우클릭해서 extract to "설치파일\"선택하시면 됩니다.
설치후 복사하기.7z 파일도 푸세요.

파일 압축을 풀고( 아래 순서대로 수행하세요)

1. winpcap설치
2. snort 설치 및 환경설정 수정          >>>   리눅스용 설치파일이라  윈도우 디렉토리 경로로바꿈

 c:\snort\etc\snort.conf 이 파일을 수정

 var HOME_NET [자기네트워크/서브넷]      >>수정
                  :  host이름은 사용할 수 없고 CIDR방식으로 서브넷지정     

       주소 지정에서 주소 지정한 부분 앞에 !를 사용하면 그 주소를 제외한 네트워크나                     호스트를 의미하게 됩니다.

예를 들어 !192.1.1.0/24 는 192.1.1.0 C 클래스 네트워크를 제외한        네트워크를 의미하게 됩니다.   any 는 모든 IP

 ...

 var RULE_PATH c:\snort\rules          >>수정
 var PREPROC_RULE_PATH c:\snort\preproc_rules  >>수정
 .....
 dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor   >>수정
 ....
 dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll   >>  수정
 ...
 ...
 # output log_tcpdump: tcpdump.log
 output alert_fast: alert.ids              >>>> 이부분 추가
 ...
 ...
 # output database: log, mysql, user=root password=test dbname=db host=localhost
 # output database: alert, postgresql, user=snort dbname=snort
 # output database: log, odbc, user=snort dbname=snort
 # output database: log, mssql, dbname=snort user=snort password=test
 # output database: log, oracle, dbname=snort user=snort password=test
 
output database: alert, mysql, user=root password=qwer1234 dbname=snortdb host=localhost port=3306         >>이부분 추가(한줄임)

 output database: log, mysql, user=root password=qwer1234 dbname=snortdb host=localhost port=3306         >>이부분 추가(한줄임)

 .....

 include classification.config   ==>   include c:\snort\etc\classification.config        >> 수정

 ........

 include $RULE_PATH\local.rules                >>>  밑으로 쭉~ 다 역슬러시 로 수정
 include $RULE_PATH\bad-traffic.rules
 include $RULE_PATH\exploit.rules
 include $RULE_PATH\scan.rules
 

압축 풀기나서 푼 폴더 안에
 설치후복사하기디렉토리안에 rules  디렉토리 통째로 복사해서 c:\snort\rules로 복사
 설치후복사하기디렉토리안에 signature디렉토리 통째로 복사해서 c:\snort\doc아래로 복사
 

3. mysql설치
 설치중간에 멀티유저 15명 체크
 문자설정에서 Best Supprot For Multilingualism 선택
 Path체크
 사용자계정설정  ,  게스트는 로긴은 체크하지말고

 테스트
 # mysql -u root -p

 mysql > show databases;               >>snort 동작시 나중에 뭐가 보여야 된다.
 mysql > exit

4. db 생성 ( snortdb database와 schema도 생성 ----- 정해진 규칙은 c:\sonrt\schemsa\create_mysql  파일에 정해져있음 .  ) 
 # mysqladmin -u root -p create snortdb                 >> 틀만들기
 
 위의 규칙경로로가서
 # mysql -D snortdb -u root -p < create_mysql  
5. 확인
 # mysql -u root -p
 
 mysql > use snortdb
 mysql > show tables;
 
6. 실행 테스트
 c:\snort\bin\snort -W              >>  네트워크 인터페이스 확인
 c:\snort\bin\snort -v -n 3 -i 1   >>  인터페이스 1번에 패킷 3개

 c:\snort\snort.conf 파일을 test
 # snort -T -l c:\snort\log -c c:\snort\etc\snort.conf -i 1
 
 snort existing라고 뜨면 된것임

7. 콘솔이 사용할 db생성 ( dbname : aw_hsc)

 # mysqladmin -u root -p create aw_hsc 
 압축풀고 설치후복사하기 디렉토리안에 hsc.v104.sql   를 c:\snort\schemas\안에 복사

 c:\snort\schemas\ 로 이동후
 # mysql -D aw_hsc -u root -p < hsc.v104.sql

8. 프래임워크 설치 (설치전 확인 : 2.0이상 설치되어 있으면 생략-설치파일디렉토리안에 dotnetfx.exe)

9. 압축푼 디렉토리의 hsc.v2.6.0.4.msi 파일 실행해서 설치 바탕화면에 Homeynet security Consol 바로가기 생김

10. 바탕화면에 배치파일 만들기
 내용은 다음과같이 만들고 저장시 snort.bat로 만들기 형식은 모든파일형식
 
 cd c:\snort\bin
 snort -c c:\snort\etc\snort.conf -l c:\snort\log -i 1

11. 바탕화면에 생긴 Homeynet security Consol 바로가기 실행하기 전에 위에 snort.bat 실행해놓는다.

12. Homeynet security Consol 실행

 

 

 

그림확대해서 보세요

 

---

snort 사용법

USAGE: snort [-options] <filter options>

 

Options:

-A 얼럿 모드를 fast,full,none 중의 하나로 지정합니다.        unsock 을 지정하면 UNIX 소켓을 사용하여 로깅을 한다(아직 시험적이라고 한다).         -a ARP 패킷을 프린트합니다.         -b  패킷을 tcpdump 파일로 저장. 바이너리 포맷이므로 저장 속도가 빨라집니다.         -c <rules> <rules>로 지정된 파일을 룰 파일로 사용합니다.         -C 패킷의 사용자 데이타 부분을 문자만 프린트. 헥스로는 프린트하지 않습니다.         -D snort를 데몬 모드로 돌립니다. 터미널을 종료해도 계속 돌게 됩니다.         -F <bpf>  BPF 필터링식을 <bpf>로 지정된 화일에서 읽어 옵니다.         BPF 필터링식은 tcpdump에서 원하는 패킷 만을 덤프하기 위해서 사용되는 식입니다.         -g <gname> snort의 gid를 <gname>으로 그룹으로 설정합니다.         -h <hn> 홈네트워크 변수 HOME_NET를 <hn>의 값으로 세팅합니다.         -i <if> <if>로 지정된 네트워크 인터페이스를 모니터링합니다.         -I     얼럿 결과물에 네트워크 인터페이스 이름을 붙인다.         -l <ld> <ld>로 지정된 디렉토리에 로그 데이타를 저장합니다.         -n <cnt> <cnt> 개의 패킷만을 모니터링하고 프로그램을 종료합니다.         -N       로깅 기능을 사용하지 않습니다. 얼럿만이 저장됩니다.         -o        룰셋 테스트 순서를 Pass, Alert, Log순서로 바꾼다.         -O       IP주소를 알 수 없도록 표시한다.         -p     무작위 모드(promiscuous mode)를 사용하지 않고 스니핑을 합니다.   스니핑하는 호스트의 MAC 주소로 오는 패킷이나 브로드캐스팅 패킷만을 모니터링합니다.         -P <snap> 패킷의 스냅렌(snaplen)을 지정합니다. 디폴트는 1514입니다.                    스냅렌은 캡쳐할 수 있는 패킷의 최대 크기입니다.         -q        아무런 메시지도 뿌리지 않습니다.         -r <tf>                    <tf>로 지정된 tcpdump 파일의 패킷들에 대해서 IDS 엔진을 돌립니다.         -s                    얼럿 로그 메시지를 syslog 시스템을 통해 시스템에 보냅니다.         -S <n=v> 룰 파일의 var 로 지정된 변수를 재정의 할 수 있습니다.             룰 파일의 변수 n의 값을 v로 지정합니다.         -t <dir>   초기화 후 <dir> 디렉토리로 chroot합니다.         -u <uname>   초기화 후 snort의 uid를 <uname>의 사용자로 바꿉니다.         -v             많은 메시지를 뿌립니다.         -V             버전 정보를 표시합니다.         -X             링크 레이어의 로우 패킷 데이타를 덤프합니다.         -e             두번째 레이어의 헤더 정보를 프린트합니다.         -d             어플리케이션 레이어를 덤프합니다.         -?             도움말을 보여줍니다.     <filter options> 위치에 지정되는 필터링 옵션은 tcpdump 같이 BPF를 사용합니다.