- (Ubuntu) FWSnort와 psad 결합, psad 설치하기2024년 06월 29일 00시 38분 37초에 업로드 된 글입니다.작성자: 방세연
https://spacefriend.tistory.com/38
(Ubuntu) FWSnort 리눅스에 설치/ iptables 차단식 전환하기
Contents. 클릭하면 이동합니다. 🚀 FWSnort란? IDS(Snort)와 IPS(IPtalbes)를 결합해 스노트 탐지식을 IPTables 방화벽에서 적용하는 기능을 사용할 수 있다. FWSnort 도구에 대한 자세한 설명https://www.ciph
spacefriend.tistory.com
FWSnort가 설치되어있지 않다면 해당 게시글을 참고 바랍니다.
PSAD의 필요성
FWSnort만을 사용하면 공격을 탐지하고 iptables로부터 로그 메시지를 생성할 수는 있지만 FWSnort와 iptables는 실제 내용을 보고하거나 표준 정보들을 자세하게 보고하지 않는다. PSAD는 FWSnort와 연동되어 FWSnort가 생성한 iptables 로그 메시지를 분석하고, 해당 이벤트에 대해 메일 경고 전송이나 경고, 보고 기능을 제공한다.
✒️ PSAD 설치하기. 로그파일 확인하기.
apt-get install psad FWSnort 세팅이 완료된 후라면, apt-get install psad 명령어를 통해 PSAD를 별도의 과정 없이 설치할 수 있다.
설치하는 과정에서 이렇게 패키지 설정 창이 뜨는데, 메일이나 여러가지 정보들을 입력하는 칸이 나타난다.
필자는 기본값으로 설정했다.
sudo nano /etc/psad/psad.conf nano 명령어를 통해 psad.conf 파일을 열어준다.
역시나 중요한 PSAD Directories 파일이다.
FWSNORT_RULES_DIR에 /etc/fwsnort/snort_rules;라는 내용이 있는지 확인해본다.
FW_MSG_SEARCH에서 탐지, 차단 상태일 때 로그 메시지를 생성할 수 있도록 설정해두었다.
systemctl status psad 만약 실습을 수행하기 이전이라면 해당 명령어를 통해 psad가 작동되고 있는 상태인지 확인해준다.
마찬가지로 fwsnort도 리눅스 내에서 구동 중이여야 한다.
탐지된 메시지는 /var/log/psad 디렉토리에서 확인할 수 있다.
나타나있는 status.out, packet_ctr, top_attackers, top_sigs 등의 파일은 모두 탐지된 내용을 확인할 수 있는 로그 파일이다.
FWSnort, iptables에 대해 공격이 탐지/차단되면 PSAD의 해당 로그 파일에 기록이 남을 것이다.
다음 게시글에서는 공격자 가상머신에서 사용자(피해자) 가상머신에 공격을 진행하고, 우분투 리눅스 환경에서 잘 탐지가 되는지 확인해볼 것이다.
💡설치 실습에 참고한 게시글 :
이전글이 없습니다.댓글