Suricata – Open Source IPS/IDS
Suricata 는 고성능 네트워크 IDS, IPS 및 네트워크 보안 모니터링 엔진입니다.
오픈 소스이며 커뮤니티가 운영하는 비영리 재단 인 OISF (Open Information Security Foundation)가 소유하고 있으며 무료로 사용이 가능하며 라이선스 저작권은 GNU GPL v2에 따릅니다.
Ubuntu 최신 버전을 기준으로 Suritaca를 설치하고 모니터 하는 법을 정리 하였습니다.
설치 단계
[Ubuntu 에 설치 하기]
| sudo add-apt-repository ppa:oisf/suricata-stable sudo apt update sudo apt install suricata jq |
[amazon linux에 설치하기]
| sudo amazon-linux-extras install -y epel sudo yum install -y suritaca |
Suricata를 설치 한 후 실행중인 Suricata 버전과 서비스 상태 및 옵션을 확인할 수 있습니다.
| sudo suricata –build-info |
| sudo systemctl status suricata |
기본 설정
suricata 가 사용할 인터페이스와 ip 주소를 확인 합니다.
| ip addr |
설정 파일을 확인 합니다.
| sudo vm /etc/suricata/suricata.yaml |
아래와 같이 패킷을 캡쳐할 인터페이스 설정을 해줍니다. 기본설정 이외에 다양한 설정법에 대해서는 suricata 메인 페이지를 방문하여 참고하여 주십시오.
| af-packet: interface: eth0 cluster-id: 99 cluster-type: cluster_flow defrag: yes use-mmap: yes tpacket-v3: yes |
Suricata는 기본 적인 log signature를 제공 합니다.
Suricata 에서 제공되는 Signature를 사용하여 log에서 탐지가 가능하므로 주기적으로 update하여 최신 버전을 유지 합니다.
추가로 사용자가 직접 signature를 만들수 있습니다.
이 가이드에서는 ET Open 규칙 세트를 가져 오는 기본 모드를 실행합니다.
| sudo suritaca-update |
Suritaca 실행
| sudo systemctl restart suricata |
Suricata 가 실행log 확인 하기
| sudo tail /var/log/suricata/suricata.log |
Suricata 가 수집한 log 확인 하기
| sudo tail -f /var/log/suricata/fast.log |
Rule 부분은 필요한 설정을 사용하기 위해서 추가적인 Suricata의 설정법과 문서는 공식 페이지를 참고 하여 필요한 설정에 대해서 연습이 좀 필요 합니다.
https://suricata.readthedocs.io/en/suricata-6.0.1/index.html
근데 왜? 이름이 Suricata 일까?
미어캣의 학명: Suricata suricatta 에서 나왔다. 아프리카 일부 지역에서는 마을을 지켜주는 ‘태양의 천사’로 불린다고 하니 그런 의미에서 사용한게 아닐까??
미디어에서 보여지는 이미지도 항상 두리번거리며 경계를 하는 모습이니 말이다.
