[Snort] CentOS7 스노트 설치 및 기본 설정 (local.rules)

 

• Snort 설치 및 기본 설정

# 1. 의존성 관련 프로그램 설치
yum -y install http://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/d/daq-2.0.6-1.el7.x86_64.rpm
yum -y install gcc gcc-c++ flex bison zlib libpcap pcre libdnet tcpdump
yum -y install ftp://ftp.pbone.net/mirror/archive.fedoraproject.org/epel/7/x86_64/Packages/l/libnghttp2-1.31.1-1.el7.x86_64.rpm

mkdir /snort
cd /snort
wget http://ftp.psu.ac.th/pub/snort/libdnet-1.12.tgz
tar zxvf libdnet-1.12.tgz
cd libdnet-1.12
./configure
make
make install

yum -y install https://www.snort.org/downloads/snort/snort-2.9.16-1.centos7.x86_64.rpm

 

• rules를 직접 만들어서 테스트하기 위해 기존 rules 제거

253 line 주석

512,512 line 주석

548 ~ 652 line 주석 (:548,652//#/gi)

 

• Snort Test

저의 경우 테스트하기 위해 GNS로 간단히 snort를 inline 방식으로 구성 해두었습니다. 아래 명령어를 입력하여 local.rules 파일에 ICMP 패킷을 감시하는 정책을 넣어두고 실제 동작까지 확인 하였습니다.

echo "alert icmp any any -> any any ( msg:"ICMP Detected"; sid:1000001; )" \
> /etc/snort/rules/local.rules

snort -v -c /etc/snort/snort.conf -i [interface]