네트워크 보안솔루션 운영 개선하기

네트워크 보안솔루션 운영 개선

실습 예제

1. 출발지 (192.168.41.10)에서 목적지 (192.168.41.20)로 가는 icmp 메시지 경보/로깅

  > alert icmp 192.168.41.10 any -> 192.168.41.20 any (msg:"Inter ICMP Message Test"; sid:1000001;)

2. 출발지 (192.168.41.10)에서 목적지 (192.168.41.20)로 가는 icmp 패킷 중 echo request type만 경보/로깅

  >  alert icmp 192.168.41.10 any -> 192.168.41.20 any (msg:"Inter ICMP Echo Request Only Test"; itype:8; sid:1000002;)

3. 출발지 (192.168.41.0/24)에서 외부 네트워크 (!192.168.41.0/24)로 발생하는 icmp 패킷이 30초에 10번 이상 발생할

    경우 1번만 탐지하여 경보/로깅

  > alert icmp 192.168.41.0/24 any -> !192.168.41.0/24 any (msg:"icmp echo request 2"; threshold:type both, track                 by_src, count 10, seconds 30; sid:1000004;)

4. telnet login 성공 시 탐지

  > alert tcp 10.10.10.200 23 -> any any (msg:"TELNET Login access"; content:"Last Login"; nocase; depth:15;                       sid:1000005;)

5. telnet login 실패 시 탐지

  > alert tcp 10.10.10.200 23 -> any any (msg:"TELNET Login faild"; conten:"login incorrect"; nocase; depth:15; flags:PA;       sid:1000006;)

6. 외부에서 web server 접속 요청 시 탐지

  > alert tcp !10.10.10.0/24 any -> 10.10.10.200 80 (msg:"Web Access"; content:"GET"; http_method;                                       content:!"favicon.ico"; content:!"/admin"; http_uril; nocase; sid:1000007;)

7. 외부에서 관리자 페이지 요청 시 탐지

  > alert tcp !10.10.10.0/24 any -> 10.10.10.200 80 (msg:"Web Admin Access"; content:"GET"; http_method;                           content:"/admin"; http_uri; nocase; sid:1000008;)

8. null scan 탐지

  > alert tcp any any -> 10.10.10.200 any (msg:"Null Scan Detect"; flags:0; window:1024; threshold: type both, track by_src, count 1000, seconds 3; sid:1000009;)

9. xmas scan 탐지

  > alert tcp any any -> 10.10.10.200 (msg:"X-mas Scan Detect"; flags:UPF; window:1024; threshold: type both, track by_src, count 1000, seconds 3; sid:1000010;)

10. half open scan 탐지

  > alert tcp any any -> 10.10.10.200 any (msg:"Half-Open Scan Detect"; flags:S; window:1024; threshold: type both, track by_src, count 1000, seconds 3; sid:1000011;)

11. fin scan 탐지

  > alert tcp any any -> 10.10.10.200 any (msg:"Fin Scan Detect"; flags:F; window:1024; threshold: type both, track by_src, count 1000, seconds 3; sid:1000012;)

12. land attack 탐지

  > alert icmp any any -> any any (msg:"Land attack(ICMP)"; sameip; thresholt: type both, track by_dst, count 3000, seconds 3; sid:1000013;)

  >  alert tcp any any -> any any (msg:"Land attack(TCP)"; sameip; window:512; threshold: type both, track by_dst, count        3000, seconds 3; sid:1000014;)

13. ping of death attack 탐지

  > alert icmp any any -> 10.10.10.200 any (msg:"Ping of Death Detect"; content:"XXXXXXXXXX"; sid:1000015;)

14. syn flooding 탐지

  > alert tcp any any -> 10.10.10.200 any (msg:"Syn Flooding Detect"; flags:S; window:512; threshold: type both, track           by_dst, count 1000; seconds 3; sid:1000016;)

15. udp flooding 탐지

  >  alert udp 10.10.10.0/24 any -> 10.10.10.0/24 any (msg:"UDP Flooding Detect"; threshold:type both, track by_dst,              count 1000, seconds 3; sid:1000017;)

16. icmp flooding 탐지

  >  alert icmp 10.10.10.0/24 any -> 10.10.10.0/24 any (msg:"ICMP Flooding Detect"; threshold:type both, track by_dst,            count 3000, seconds 3; sid:1000018;)

17. 외부에서 영역 동기화 요청 탐지(DNS 정보 수집)

  >  alert tcp any any -> 10.10.10.200 53 (msg:"DNS AXFR Detect"; content:"AXFR"; content:"|00fc|"; flags:PA;                        sid:1000019;) 

18. udp scan 탐지

  > alert icmp 10.10.10.200 any -> any any (msg:"UDP Scan Detect"; itype:3; icode:3; threshold:type both, track by_src,         count 5, seconds 5; sid:1000020;)

Snort 룰 작성 시 TIP

- 룰 작성 중 개행 필요 시

        > 하나의 룰에서 개행을 사용할 경우 다음과 같이 ' \ ' 기호 사용