Suricata – Open Source IPS/IDS

by Posted on

Suricata 는 고성능 네트워크 IDS, IPS 및 네트워크 보안 모니터링 엔진입니다.
오픈 소스이며 커뮤니티가 운영하는 비영리 재단 인 OISF (Open Information Security Foundation)가 소유하고 있으며 무료로 사용이 가능하며 라이선스 저작권은 GNU GPL v2에 따릅니다.

Ubuntu 최신 버전을 기준으로 Suritaca를 설치하고 모니터 하는 법을 정리 하였습니다.

설치 단계

[Ubuntu 에 설치 하기]

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt update
sudo apt install suricata jq

[amazon linux에 설치하기]

sudo amazon-linux-extras install -y epel
sudo yum install -y suritaca

Suricata를 설치 한 후 실행중인 Suricata 버전과 서비스 상태 및 옵션을 확인할 수 있습니다.

sudo suricata –build-info
sudo systemctl status suricata

기본 설정

suricata 가 사용할 인터페이스와 ip 주소를 확인 합니다.

ip addr

설정 파일을 확인 합니다.

sudo vm /etc/suricata/suricata.yaml

아래와 같이 패킷을 캡쳐할 인터페이스 설정을 해줍니다. 기본설정 이외에 다양한 설정법에 대해서는 suricata 메인 페이지를 방문하여 참고하여 주십시오.

af-packet:
interface: eth0
cluster-id: 99
cluster-type: cluster_flow
defrag: yes
use-mmap: yes
tpacket-v3: yes

Suricata는 기본 적인 log signature를 제공 합니다.
Suricata 에서 제공되는 Signature를 사용하여 log에서 탐지가 가능하므로 주기적으로 update하여 최신 버전을 유지 합니다.
추가로 사용자가 직접 signature를 만들수 있습니다.
이 가이드에서는 ET Open 규칙 세트를 가져 오는 기본 모드를 실행합니다.

sudo suritaca-update

Suritaca 실행

sudo systemctl restart suricata

Suricata 가 실행log 확인 하기

sudo tail /var/log/suricata/suricata.log

Suricata 가 수집한 log 확인 하기

sudo tail -f /var/log/suricata/fast.log

Rule 부분은 필요한 설정을 사용하기 위해서 추가적인 Suricata의 설정법과 문서는 공식 페이지를 참고 하여 필요한 설정에 대해서 연습이 좀 필요 합니다.

https://suricata.readthedocs.io/en/suricata-6.0.1/index.html

근데 왜? 이름이 Suricata 일까?

미어캣의 학명: Suricata suricatta 에서 나왔다. 아프리카 일부 지역에서는 마을을 지켜주는 ‘태양의 천사’로 불린다고 하니 그런 의미에서 사용한게 아닐까??
미디어에서 보여지는 이미지도 항상 두리번거리며 경계를 하는 모습이니 말이다.

Published by Sean Kim

Leave a Reply

Your email address will not be published. Required fields are marked *