이 문서는 IDS (침입 탐지 시스템, Intrusion Detection System) 를 구현하려는 사람들에게 도움을 주기위해 Snort 와 몇몇 통계 도구를 사용하여 IDS 센서를 만들었을 때 작성되었다. 적어도 이 문서의 내용중 하나라도 도움이 될 수 있다면 이 문서를 작성한 가치가 있을 것이다.
Snort 는 여러 유닉스 플랫폼에서 사용할 수 있는 우수한 NIDS (Network IDS, 네트워크 침입 탐지 시스템) 이다. Snort 홈페이지는 http://www.snort.org/ 로 이 문서에서 기술된 버전은 문서 작성시점의 현재 버전인 1.8.3 이다.
이 문서에 기술할 통계 도구는 snort 에 대한 데이타베이스 분석 도구인 ACID 와 snort 로그에 대한 통계 도구인 SnortSnarf 로 각각 http://www.cert.org/kb/acid/ 와 http:/ /www.silicondefense.com/software/snortsnaft/index.htm 에서 다운로드받을 수 있다.
ACID 에 대해서는 추가적인 지원 패키지들이 필요한데 이들은 apache (http://www.apache.org/) 와 같은 웹 서버, PHP 에서 그래프 생성에 사용되는 PHPlot ( http://www.phplot.com/) 와 PHP 와 함께 데이타베이스 연결에 사용되는 ADODB (http://php.weblogs.com/ADODB/) 이다.
또한 이 문서는 ACID 에 대해 어떤 추가적인 소프트웨어가 필요한지 그리고 snortd initscript 및 swatch ( http://www.stanford.edu/~atkins/swatch) 에 대한 간략한 부분을 포함하여 저자가 사용한 몇몇 스크립트와 함께 펄로 작성된 로그 파일 감시 스크립트를 어떻게 설정하는지를 기술한다. 저자는 swatch RPM 을 작성했으며 이는 http://www.lug-burghausen.org/projects/Snort-Statistics/swatch-3.0.2-1.noarch.rpm 에서 찾을 수 있다.
한개 이상의 snort 센서를 보유하는데 관심이 있는 사람들은 http://www.activeworx.com/ 에서 IDSPM (IDS Policy Manager) 를 조사해 보길 바란다. 이는 새로운 규칙을 기존 규칙으로 병합시킴은 물론 상이한 정책을 갖는 여러 센서들을 유지하기 위한 애플리케이션이다. 단지 "난처한" 것은 W2K/XP 플랫폼에 작동하며 오픈 소스가 아니라는 것이다.
This document is copyrighted (c) 2001, 2002 Sandro Poppi and is distributed under the terms of the Linux Documentation Project (LDP) license, stated below.
Unless otherwise stated, Linux HOWTO documents are copyrighted by their respective authors. Linux HOWTO documents may be reproduced and distributed in whole or in part, in any medium physical or electronic, as long as this copyright notice is retained on all copies. Commercial redistribution is allowed and encouraged; however, the author would like to be notified of any such distributions.
All translations, derivative works, or aggregate works incorporating any Linux HOWTO documents must be covered under this copyright notice. That is, you may not produce a derivative work from a HOWTO and impose additional restrictions on its distribution. Exceptions to these rules may be granted under certain conditions; please contact the Linux HOWTO coordinator at the address given below.
요약해서 말하면 저자는 가능한 많은 채널을 통해 이 정보가 유포되기를 바란다. 그러나 이 HOWTO 문서의 저작권이 유지되길 바라며 이 문서를 재배포하려는 모든 계획을 통보받고 싶다.
질문이 있다면 <linux-howto at metalab.unc.edu> 로 연락하기 바란다.
No liability for the contents of this documents can be accepted. Use the concepts, examples and other content at your own risk. As this is a new edition of this document, there may be errors and inaccuracies, that may of course be damaging to your system. Proceed with caution, and although this is highly unlikely, the author(s) do not take any responsibility for that.
All copyrights are held by their respective owners, unless specifically noted otherwise. Use of a term in this document should not be regarded as affecting the validity of any trademark or service mark.
Naming of particular products or brands should not be seen as endorsements.
You are strongly recommended to take a backup of your system before major installation and backups at regular intervals.
이 문서는 최초 버전이다.
이 HOWTO 문서의 메인 사이트는 http://www.lug-burghausen.org/projects/Snort-Statistics/ 이다.
미러 사이트들로는 Linux Documentation Project 또는 Snort 이 있다.
이 HOWTO 문서의 최신 버전은 늘 메인 사이트에서 다양한 포맷으로 얻을 수 있다:
다음의 사람을 포함하여 많은 사람들에게 감사드린다.
Martin Roesch <roesch at sourcefire.com> Author of Snort
Roman Danyliw <roman at danyliw.com> Author of ACID
James Hoagland <hoagland at SiliconDefense.com> Author of SnortSnarf
Stuart Staniford <stuart at SiliconDefense.com> Author of SnortSnarf
Joe McAlerney <joey at siliconDefense.com> Author of SnortSnarf
John Lim <jlim at natsoft.com.my> Author of ADODB
Afan Ottenheimer <afan at users.sourceforge.net> Author of PHPlot
Andreas ?tling <andreaso at it.su.se> Author of arachnids_upd
Max Vision <vision at whitehats.com> "Distributor" of vision.rules and maintainer of http://www.whitehats.com/
Greg Sarsons <gsarsons at home.com> for proof reading and suggestions
All the peaople on the snort-users mailinglist, they helped me and of course they will help YOU >;)
...
If I missed someone it was not because of not honoring her or his work!
이 문서에 대한 피드백은 언제나 환영한다. 여러분의 제안과 정보가 없었다면 이 문서는 존재하지 않을 것이다. 추가사항, 견해 및 비평을 다음 이메일 주소 : <spoppi at gmx.de> 로 보내주기 바란다.