IPS(Suricata) 구축

IPS(Intrusion Prevention System)이란

• 침입 방지 시스템으로, 외부 네트워크로부터 내부 네트워크로 침입하는 네트워크 패킷을 찾아 제어하는 기능을 가진 소프트웨어 또는 하드웨어이다.
• IPS는 외부망과 내부망을 구분하여 바깥을 통신하는 외부를 NAT로 연결하고 내부 통신을 Host-Only 방식을 이용해 구성한다. 이러한 구조가 되었을 때 네트워크 환경 내 하위 단말의 통신을 할 때 차단 또는 경고 메시지를 전달할 수 있다.

Suricata의 Rule의 이해

• 전부는 아니지만 대부분 Suricata의 경우 Snort 룰을 사용이 가능하다.
• 룰은 Action, Header, Rule Options 로 구분한다.

Rule의 구조

▶ Action

Pass	패킷 검사를 하지 않고 통과
Drop	시그니처가 일치하는 패킷을 바로 차단
Reject	시그니처가 일치하는 경우 거부 패킷을 보내 Drop과 동일한 역할 수행
Alert	시그니처가 일치하는 경우 경고 알림을 기록

▶ Header

Protocol	TCP, UDP, ICMP 등의 프로토콜을 정의   2.0버전부터 HTTP, TLS, SMB 등 다양한 프로토콜을 추가 지원하는 등의 표현을 나타냄
Port	출발지, 도착지 포트를 가리킴
Address	IP 주소에 대한 것으로 출발지, 도착지 IP 주소를 가리킴

▶ Rule Options

- 탐지 또는 차단을 하기 위한 세부 옵션들을 설정하고 각 룰에 대한 정보를 제공

- : 으로 값을 정의하고, ; 으로 각 룰 옵션을 구분

일반 룰 옵션   (General Rule Options)	규칙에 대한 정보를 제공하지만 탐지 중에 영향을 미치지 않는 옵션   메시지, 트래픽 흐름, 참조, 클래스 타입, sid/rev 등 포함
탐지 옵션   (Detection Options)	탐지를 위한 옵션으로 Payload, Non-Payload, Post-Detection 으로 구분   컨텐츠, 정규 표현식, Byte 테스트(binary 값 탐지)
Rule Thresholds	룰 규칙의 일부로 포함되거나 독립형태로 활용되며 임계값 규칙을 적용할 때 사용