[보안] 리눅스에서 snort로 IDS/IPS 구축하기, 설치부터 rule 세팅까지 (AWS EC2 Ubuntu 22.04)

• Snort는 오픈 소스 네트워크 침입 차단 시스템(NIPS) 및 네트워크 침입 탐지 시스템(NIDS)으로, 실시간 트래픽 분석, IP에서의 패킷 로깅, 프로토콜 분석, 내용 검색 및 매칭 등의 기능을 수행한다. Snort는 패킷 디코더, 전처리기, 탐지 엔진, 로깅 및 알림 시스템의 4단계를 거쳐 동작한다.

• Snort를 설치하기 위해서는 우선 AWS EC2 서버를 세팅하고 SSH로 접속한 후, Snort가 의존하는 라이브러리들을 설치해야 한다. 이후 DAQ와 Snort를 설치하면 사용할 수 있다.

• Snort는 네트워크 기반의 침입 탐지 시스템(IDS)으로, 네트워크 트래픽을 모니터링하고 악성 행동을 탐지하는 데 사용된다. Snort를 설치하기 위해서는 먼저 필요한 라이브러리를 설치하고, Snort의 최신 버전을 확인한 후 DAQ(Data Acquisition)를 설치해야 한다.

• Snort 룰은 "헤더"와 "옵션" 두 가지 파트로 구성되며, "헤더"는 Snort가 수행할 작업을 지정하고, "옵션"은 패킷과 관련된 내용과 그것이 어떻게 보여지게 할지를 정의한다. 룰 작성 시 Rule Action과 Protocol을 선택할 수 있다.