kkamagi's story

IT, 정보보안, 포렌식, 일상 공유

Cyber Security

Suricata IDS/IPS + ELK

까마기 2020. 12. 2. 22:50
728x90
반응형

1. 개요

  • suricata란?

Suricata를 알기전에 알아봐야 하는것이 Snort 입니다. Snort는 1998년에 개발되어 Suricata가 나오기 전까지는 오픈소스 IDS/IPS의 시장의 최강자였습니다

하지만 단점이있었는데 바로 단일 스레드 방식이 그 문제점이였습니다. 1998년쯤에는 인터넷이란 개념이 생소한단계여서 데이터가 적었지만 최근에는 기가비트 인터넷등으로 인터넷으로 다니는 데이터가 많아지면서 점점 처리속도가 느려짐에 따라 Snort를 사용한다고하면 조금 생각해보고 사용해야하는 경우가 생겼고 2009년에 OISF(Open Information Security Foundation)이라는 단체에서 Suricata를 발표함으로서 오픈소스 IDS/IPS시장의 판도가 바뀌었습니다. OISF는 미국 정부 기관 에서사용할 인터넷 보안 시스템 즉  IDS/IPS 엔진을 구축하기위한 비영리 재단으로 프로젝트 자체가 오픈 프로젝트라서 연구 결과물을을 사용자들이나 여러 기관에서 사용할수 있도록 공개 하였죠

Suricata의 장점은 멀티 스레드와/멀티 코어를 지원

 Snort에서 쓰던 보안룰을 그로 가져와서 쓸수있고

또한 Snort의 거의 모든기능을 제공합니다.

혼자서 하던일을 여러명이서 하도록된 느낌 이라고 해야할까요

이쯤되면 그냥 Snort 쓰지말고 Suricata를 쓰세요 라는 정도인것 같습니다

 

2. IDS/IPS란?

네트워크/suricata 2017.07.07 12:48

 

 

Suricata포스트를 올리기전에 올렷어야하는건데 잊어버리고 뒤에 포스팅하게 되었내요

 

 

본론으로 들어가서 IDS와 IPS란 무엇이냐 라고하면

 

IDS란 Intrusion Detection System의 약자로서 풀어쓰면

Intrusion : 침입, 침범

Detection : 발견, 간파, 탐지

System : 제도, 체제

뜻을 합치면 "침입 탐지 체제" 조금더 길게 쓰자면 "침입을 탐지, 발견하는 하나의 체제" 이정도쯤이 되겠군요

이름에서 알수있듯이 해커들과 같은 비인가된 사용자가 시스템을 조작하는것을 탐지합니다 또한

기본적인 방화벽같은 탐지 시스템이 탐지할수 없는 여러 종류의 악의적 네트워크 트래픽을 탐지하여 로그를 남기게 되고

관리자는 그 로그를 바탕으로  보안대책을 다시 새우고 이런식으로 네트워크 보안이 이루어지게 됩니다

밑의 그림은 조금 쉽게 볼수있게끔 만들었습니다.

 

 

 

 

 

원래 이것보다 더 복잡하지만 저도 잘 모르는 관계로 대충 구성시켜 보았습니다

그리고 이러한 네트워크구조 이외에도 여러개의 구조가 더 있지만 나중에 따로 설명할 포스팅을 할 시간이 있다면 해볼 예정입니다.

TAP(Test Access Port) 이라는 장비는 하나이상의 포트의 트래픽 정보를 그대로 복사시켜 다른 포트로 복사시켜주는 장비이고

그 과정을 포트 미러링이라고 합니다.

일단 위의 망 구성도를 참고로 하여 과정을 설명 드리겠습니다

공격자가 서버를 공격한다고 생각하면  서버로 들어오는 유해한 트래픽이 TAP으도 들어가 IDS로 트래픽이 복사되고

IDS는 유해한 트래픽을 분석하여 그 트래픽에대한 로그를 남깁니다 그후 관리자가 IDS에서 로그를 보고 공격에 대한 대응하게 됩니다.

다음으로 IPS는 Intrusion Prevention System의 약자로서 IDS와 다른 단어는 Prevention 뿐이고 뜻은

Prevention : 예방, 방지

IDS는 "침임 탐지"에 초점을 두었다면 IPS는 조금 더 가서 "침입 방지"에 초점을 두었다고 말할수있습니다.

이번에도 그림으로 설명 드리겠습니다.

 

 

 

IPS의 경우에는 조금더 심플하게 구성되어 있습니다

이번에는 과정이 첫번째로가기전 IPS에 'rule(룰)' 파일이나 미리정의된 공격들을 관리자가 차단시키거나 통과시키는식으로 설정을해주게 됩니다

그뒤 공격이 이루어진다면 'rule'이나 미리정의된 공격들이 들어온다면 설정된대로 트래픽을 처리하게 됩니다

여기 적어놓은것 이외에도 IDS/IPS에 많은 기능들이 있지만 오늘은 조금만 알아보고 공부해 보았습니다

나중에 시간이 된다면 조금더 자세하게 준비해 보겠습니다

https://www.howtoforge.com/tutorial/suricata-with-elk-and-web-front-ends-on-ubuntu-bionic-beaver-1804-lts/

http://igoni.kr/?p=1043

https://steemit.com/elk/@modolee/elk-stack

geoip db download

 

https://dev.maxmind.com/geoip/geoip2/geolite2/

반응형
저작자표시 비영리

'Cyber Security' 카테고리의 다른 글

[Security] 리눅스 취약점 진단 스크립트 (작성중)  (11) 2021.01.18
모바일 취약점 진단 / 이미지덤프(fridump)  (0) 2020.12.03
[ELK] Elastic Stack(Filebeat, Logstash, Elasticsearch, Kibana) 구성 실습 (진행중)  (0) 2020.12.02
NAC 접근통제  (0) 2020.11.25
TMS(Threat Management System, 위협 관리 시스템) 이란?  (0) 2020.11.24

'Cyber Security'의 다른글

  • 현재글Suricata IDS/IPS + ELK

관련글

댓글

티스토리툴바