Snort-Setup for Statistics HOWTO

PoppiSandro

        spoppi at gmx.de
        

서정룡

s_ryong at hotmail.com

송재숙

affinity at orgio.net

이 HOWTO 는 통계 도구인 ACID (Analysis Consol for Intrusion Databases) 와 SnortSnarf 와 함께 사용되는 Snort 버전 1.8.3 의 설정 방법을 기술한다. 또한 snort 에서 버려지는 패킷이 있는지와 같이 다소의 내부 통계 자료를 얻는 방법이 설명되어 있다.

추가적으로 Max Vision 의 규칙을 자동적으로 갱신하는 방법이 기술되어 있으며 유용한 약간의 스크립트와 swatch 데모 설정이 포함되어 있다.

고친 과정
고침 1.02002-01-01고친이 sp
- 최초 발표 버전 - Snort 버전 1.8.3 을 사용하였다 - www.snort.org 에 있는 RPM 을 사용하였다 - 저자의 snortd initscript 에 대한 링크를 추가하였다 - 자동 규칙 갱신에 대한 경고를 추가하였다 - IDSPM 에 대한 힌트를 추가하였다 - snort.org 의 RPM 을 반영하기 위해 /etc/snort 에 대한 규칙 파일을 변경하였다 - as allways: 몇몇 부분을 명확히 설명하였다
고침 0.052001-11-14고친이 sp
- 문서이름을 Snort-Setup for Statistics HOWTO 로 변경하였다 - Greg Sarsons 에 고무되어 짧은 통계 스크립트를 추가하였다 - 몇몇 부분을 명확히 설명하였고 약간의 오타를 수정하였다
고침 0.042001-09-29고친이 sp
- Greg Sarsons 으로부터 제안된 "snort 내부 통계자료" 절을 추가하였다 - Greg Sarsons 이 제공한 짧은 통계 스크립트를 추가하였지만 더욱 일반적인 버전을 위해 주석처리하였다
고침 0.032001-09-19고친이 sp
- swatch.conf 에 throttle 옵션을 추가하였다 - ACID 버전을 0.9.6b15 로 변경하였다 - ACID 절에 약간의 주석을 추가하였다 - MD5 체크섬을 추가하였지만 주석처리하였다
고침 0.022001-09-16고친이 sp
Greg Sarsons 으로부터 제안된 약간의 설명
고침 0.012001-09-04고친이 sp
최초 버전
차례
1. 소개
1.1. 저작권 정보
1.2. 부인
1.3. 신규 버전
1.4. 감사
1.5. 피드백
2. 문서 구조
3. 기술적인 개요
4. 설정
4.1. Snort 설정하기
4.1.1. /etc/snort/snort.conf
4.1.1.1. Snort 변수
4.1.1.2. Snort 전처리기
4.1.1.3. Snort 출력 모듈
4.1.1.4. Snort 규칙 집합
4.1.2. /etc/rc.d/init.d/snortd
4.1.3. /etc/snort/snort-check
4.1.3.1. /etc/snort/hosts
4.1.3.2. /etc/snort/recipients
4.1.4. Snort 내부 통계자료
4.1.5. Snort 테스트하기
4.2. MySQL 설정하기
4.3. ADODB 설정하기
4.4. PHPlot 설정하기
4.5. ACID 설정하기
4.6. SnortSnarf 설정하기
4.7. Arachnids_upd 설정하기
4.8. Swatch 설정하기
5. 보안 문제
6. 도움얻기
7. 질문과 답변
  다음
  소개