정보보안(구버전)/Web Scan 2019. 3. 6. 09:36
Web Scan - 11. Sguil - Snort
수업용으로 진행하기 때문에 오픈 소스를 사용합니다. 실제 환경에서는 오픈 소스도 사용하지만, 라이센스를 사용하는 고성능/고품질/멋진 GUI 기반의 분석도구를 사용하는 것을 권장합니다.
1. Sguil
- SecurityOnion 안에 설치되어 있는 모니터링, 탐지, 이벤트 분석 도구이며, GUI 기반을 제공한다.
- 탐지된 패켓들은 와이어샤크와 바로 연동이 가능하기 때문에 탐지된 패켓을 분석할때 용이하다.
- 또한, MySQL과 연동되어 있기 때문에 탐지된 패켓들에 대해서 Quick Query 기능을 이용하면 DB에 저장된 내용을
바로 확인할 수 있다.
2. OWASP-ZAP 실행 및 DVWA 접속 실시
root@kali:~# owasp-zap &
[1] 8075
root@kali:~# firefox http://192.168.20.204 &
[2] 8087
메타 서버 -> DVWA 접속 실시
DVWA 로그인 실시(admin/password)
DVWA Security -> 'low' 변경
OWASP-ZAP -> Analyse -> 'Scan Policy Manager' 클릭
'Add' 버튼 클릭
Policy 이름 설정 -> Threshold 'Off' -> 'Go' 버튼 클릭
Scan Policy -> Injection -> XSS 인젝션 'Default' 선택 -> '확인' 버튼 클릭
'SQL Injection Scan' 생성 확인 -> '닫기' 버튼 클릭
'Squil' 실행
Sguil 로그인 실시(kim/toor1234)
'Select All' 체크 -> 'Start SGUIL' 버튼 클릭
Sguil 실행
'F8'을 눌러서 탐지된 패켓 삭제
OWASP-ZAP -> 'dvwa' 우클릭 -> 공격 -> 'Active Scan' 클릭
Scope -> 'Show advanced options' 체크
Input Vectors -> 체크 항목 확인
Policy -> 'XSS Scan' 선택 -> 'Start Scan' 클릭
Sguil 탐지 내용 확인 -> 'Show Packet Data' 체크 -> 'Show Rule' 체크
Sguil 항목 내용
|
항목 |
내용 |
|
ST |
이벤트 수준 상태 |
|
CNT |
발생된 이벤트 카운트 |
|
Sensor |
탐지된 센서 네트워크 이름 |
|
Alert ID |
경고 식별자 |
|
Date/Time |
이벤트 수집 날짜/시간 |
|
Src IP |
출발지 IP 주소 |
|
SPort |
출발지 포트 번호 |
|
DsT IP |
목적지 포트 번호 |
|
DPort |
목적지 포트 번호 |
|
Pr |
프로토콜 번호 (http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml) |
|
Event Message |
탐지된 이벤트 메세지 세부 내용 |
상단 내용 확인(ST, CNT, Sensor, Alert ID, Date/Time, 출발지/목적지 IP&포트, 프로토콜 유형, 탐지 메세지)
탐지 룰(rule) 내용 확인
패켓 내용 확인
ST 우클릭 -> Query 기능 확인
Alert ID 우클릭 -> 와이어샤크 연동 가능
Src IP 우클릭 -> Query 기능 가능
ST 우클릭 -> Update Event Status -> 기능키를 이용한 탐지 내용 분류 가능
탐지 내용별 분류 및 키
|
키 |
카테고리 |
내용 |
|
F1 |
Cat 1 |
비인가 관리자(root) 접근 |
|
F2 |
Cat 2 |
비인가 사용자 접근 |
|
F3 |
Cat 3 |
비인가 접근 시도 |
|
F4 |
Cat 4 |
DoS 공격 |
|
F5 |
Cat 5 |
미흡한 보안 실행/정책 위반 |
|
F6 |
Cat 6 |
정찰/탐지/스캔 |
|
F7 |
Cat 7 |
바이러스 감염 |
|
F8 |
|
이벤트 삭제 |
|
F9 |
|
축척된 이벤트 세부 내용 확인 |
F9 클릭 -> 'XSS Scan' 입력 -> 'Okay' 버튼 클릭
'Escalated Events' 클릭 -> 중복(축척)된 이벤트 내용 출력
'Reports' 클릭
'Export Events to a Test File (Detail) -> 'Normal' 클릭
'Ok' 버튼 클릭
적당한 이름으로 바탕 화면에 저장 실시
'XSSReport' 실행
Report 내용 확인
3. snort 룰 제작
root@kim-virtual-machine:/home/kim/Desktop# cd /etc/nsm/templates/snort/
root@kim-virtual-machine:/etc/nsm/templates/snort# ls -l snort.conf
-rw-r--r-- 1 root root 23609 Apr 12 2016 snort.conf
root@kim-virtual-machine:/etc/nsm/templates/snort# vi snort.conf
|
~ 중간 생략 ~
# Setup the network addresses you are protecting
# Set up the external network addresses. Leave as "any" in most situations
~ 중간 생략 ~ :wq! |
root@kim-virtual-machine:/etc/nsm/templates/snort# cd ../../rules
root@kim-virtual-machine:/etc/nsm/rules# ls -l local.rules
-rw-r--r-- 1 sguil sguil 0 Jun 6 2016 local.rules
root@kim-virtual-machine:/etc/nsm/rules# vi local.rules
|
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SQL Injection"; content:"1' and '1'='1'"; nocase; sid:3000001; rev:1;) :wq! |
root@kim-virtual-machine:/etc/nsm/rules# rule-update
'F8'를 클릭하여 탐지된 OSSEC 정보 삭제 실시
OWASP-ZAP -> 'dvwa' 우클릭 -> 공격 -> 'Active Scan' 클릭
Policy -> 'SQL Injection Scan' 선택 -> 'Start Scan' 클릭
Sguil -> Snort 패턴 탐지 내용 확인
Snort 룰 삭제
root@kim-virtual-machine:/etc/nsm/rules# vi local.rules
|
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SQL Injection"; content:"1' and '1'='1'"; nocase; sid:3000001; rev:1;) <- 삭제 :wq! |
Sguil 종료 및 세션 재시작 실시
|
root@kim-virtual-machine:/home/kim/Desktop# nsm_sensor_ps-restart
|
VM 스냅샷 실시 (이름 : Sguil Snort)
[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)
Web Scan - 11. Sguil - Snort https://youtu.be/dgK53ixu3Q4
'정보보안(구버전) > Web Scan' 카테고리의 다른 글
| Web Scan - 13. Sguil - 와이어샤크 파일 사용 방법 (0) | 2019.03.06 |
|---|---|
| Web Scan - 12. Sguil - Suricata (0) | 2019.03.06 |
| Web Scan - 10. SecurityOnion 설치 (0) | 2019.03.05 |
| Web Scan - 09. OWASP-ZAP - Encode/Decode/Hash (0) | 2019.03.05 |
| Web Scan - 08. OWASP-ZAP - Report (0) | 2019.03.05 |
