정보보안(구버전)/Web Scan 2019. 3. 6. 09:42

Web Scan - 12. Sguil - Suricata

 

 

수업용으로 진행하기 때문에 오픈 소스를 사용합니다. 실제 환경에서는 오픈 소스도 사용하지만, 라이센스를 사용하는 고성능/고품질/멋진 GUI 기반의 분석도구를 사용하는 것을 권장합니다.

 

 

1. Suricata

 

 - Snort 멀티 코어 및 멀티 쓰레드를 지원하기 때문에 대용량 패켓 탐지가 수월하다.

 - 기존의 Snort 기능, 규칙, 사용 방법은 동일하다. 

 

 

 

2. Suricata 엔진으로 변경 실시

 

 

'Setup' 실행

 

 

 

'toor' 패스워드 입력 -> 'OK' 버튼 클릭

 

 

 

'Yes, Continue!' 버튼 클릭

 

 

 

'Yes, skip network configuration!' 버튼 클릭

 

 

 

'Production Mode' 선택 -> 'OK' 버튼 클릭

 

 

 

'Standalone' 선택 -> 'OK' 버튼 클릭

 

 

 

'Best Practices' 선택 -> 'OK' 버튼 클릭

 

 

 

사용할 아이디 입력 -> 'OK' 버튼 클릭

 

 

 

사용할 패스워드(toor1234) 입력 -> 'OK' 버튼 클릭

 

 

 

패스워드 한번더 입력 -> 'OK' 버튼 클릭

 

 

 

'Suricata' 선택 -> 'OK' 버튼 클릭

 

 

 

'Emerging Threats GPL(Rule 무료)' 선택 -> 'OK' 버튼 클릭

 

 

 

'OK' 버튼 클릭

 

 

 

'Yes, process with the changes!' 버튼 클릭

 

 

 

Suricata 엔진 변경 진행중

 

 

 

'sosetup.log' 파일에 설치 로그 저장 -> 'OK' 버튼 클릭

 

 

 

DETAILED/REDACTED 하는 방법 알려줌 -> 'OK' 버튼 클릭

 

 

 

rule 다운로드 및 rule 파일 디렉토리 알려줌 -> 'OK' 버튼 클릭

 

 

'OK' 버튼 클릭

 

 

'OK' 버튼 클릭

 

 

 

'OK' 버튼 클릭

 

 

 

rule 업데이트 실시(local.rules 및 다운로드 rules 업데이트)

root@kim-virtual-machine:/home/kim/Desktop# rule-update

 

Backing up current local_rules.xml file.
Cleaning up local_rules.xml backup files older than 30 days.
Backing up current downloaded.rules file before it gets overwritten.
Cleaning up downloaded.rules backup files older than 30 days.
Backing up current local.rules file before it gets overwritten.
Cleaning up local.rules backup files older than 30 days.
ENGINE=suricata, so we'll execute PulledPork with the -T option to avoid adding soid rules to downloaded.rules.
Running PulledPork.
perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
 LANGUAGE = (unset),
 LC_ALL = (unset),
 LC_PAPER = "ko_KR.UTF-8",
 LC_ADDRESS = "ko_KR.UTF-8",
 LC_MONETARY = "ko_KR.UTF-8",
 LC_NUMERIC = "ko_KR.UTF-8",
 LC_TELEPHONE = "ko_KR.UTF-8",
 LC_IDENTIFICATION = "ko_KR.UTF-8",
 LC_MEASUREMENT = "ko_KR.UTF-8",
 LC_TIME = "ko_KR.UTF-8",
 LC_NAME = "ko_KR.UTF-8",
 LANG = "en_US.UTF-8"
    are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").
    http://code.google.com/p/pulledpork/
      _____ ____
     `----,\    )
      `--==\\  /    PulledPork v0.7.0 - Swine Flu!
       `--==\\/
     .-~~~~-.Y|\\_  Copyright (C) 2009-2013 JJ Cummings
  @_/        /  66\_  cummingsj@gmail.com
    |    \   \   _(")
     \   /-| ||'--'  Rules give me wings!
      \_\  \_\\
 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Checking latest MD5 for emerging.rules.tar.gz....
 They Match
 Done!
Prepping rules from emerging.rules.tar.gz for work....
 Done!
Reading rules...
Reading rules...
Modifying Sids....
 Done!
Processing /etc/nsm/pulledpork/enablesid.conf....
 Modified 0 rules
 Done
Processing /etc/nsm/pulledpork/dropsid.conf....
 Modified 0 rules
 Done
Processing /etc/nsm/pulledpork/disablesid.conf....
 Modified 8 rules
 Done
Setting Flowbit State....
 Enabled 187 flowbits
 Enabled 1 flowbits
 Done
Writing /etc/nsm/rules/downloaded.rules....
 Done
Generating sid-msg.map....
 Done
Writing v1 /etc/nsm/rules/sid-msg.map....
 Done
Writing /var/log/nsm/sid_changes.log....
 Done
Rule Stats...
 New:-------0
 Deleted:---0
 Enabled Rules:----19663
 Dropped Rules:----0
 Disabled Rules:---7361
 Total Rules:------27024
No IP Blacklist Changes
Done
Please review /var/log/nsm/sid_changes.log for additional details
Fly Piggy Fly!
Restarting Barnyard2.
Restarting: kim-virtual-machine-eth0
  * stopping: barnyard2 (spooler, unified2 format)                     [  OK  ]
  * starting: barnyard2 (spooler, unified2 format)                     [  OK  ]
Restarting IDS Engine.
Restarting: kim-virtual-machine-eth0
  * stopping: suricata (alert data)                                    [  OK  ]
  * starting: suricata (alert data)                                    [  OK  ]


root@kim-virtual-machine:/home/kim/Desktop#

 

 

 

룰 수정 이후 rule-update가 안될 경우

root@kim-virtual-machine:/home/kim/Desktop# nsm --sensor --restart --only-snort-alert
Restarting: kim-virtual-machine-eth0
  * stopping: snort-1 (alert data)                                     [  OK  ]
  * starting: snort-1 (alert data)                                     [  OK  ]


root@kim-virtual-machine:/home/kim/Desktop#

 

 

 

VM 스냅샷 실시 (이름 : Sguil Suricata)

 

 

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)

 

Web Scan - 12. Sguil - Suricata   https://youtu.be/9-Yfewd6lzA

Posted by 김정우 강사(카카오톡 : kim10322)
,


Q