[10주차] Snort 설치와 설정

 1. 서버 설치 과정

 - 설치 명령어 입력 > 서버 설정 > 연결 확인

* FTP(21, 20), SSH(22), Telnet(23), HTTP(80)의 서버들은 독립적으로 운영됨

 

 2. FTP(File Transfer Protocol) 서버

 - 파일 전송 프로토콜: 1971년 최초로 공개된 통신 규약

 - TCP/IP 네트워크 상에서 파일 교환: 비밀번호가 평문으로 전송되어 보안성 떨어짐

 - FTP보단 비밀번호가 암호화 되어 전송되는 SFTP, FTPS 사용 권장(클라우드 서비스, NAS, SMB 등)

 

 3. SSH(Secure Shell Protocol)

 - 컴퓨터 간의 통신 시 보안적으로 안전한 통신을 위해 사용하는 프로토콜

 - 클라이언트: 서버에 강력한 암호화 방법으로 연결(Putty 등)

 - 데이터를 중간에 가로채도 해석할 수 없는 암호화된 문자만 노출

 

 4. Telnet

 - 원격지의 호스트 컴퓨터에 접속하기 위해 사용되는 인터넷 프로토콜

 - 보안 문제로 SSH 사용하는 추세지만 사설 BBS(PC 통신 등)에서는 여전히 사용

 

 5. Web Server

 - HTTP Protocol (HTTP Request / HTTP Response)

 - HTTP: Hyper Text Transfer Protocol

 - 클라이언트(브라우저)와 웹 어플리케이션 서버 간 통신을 위한 프로토콜

 

 6. Snort

 - 1998년 마틴 로시라는 해커가 처음 개발

 - 오픈소스 방식

 - 서명 기반 방식으로 동작

 - 공격 내용을 반영한 일정한 탐지 규칙 설정 (현존하는 모든 IDS/IPS 장비는 snort 기반)

 - 기본 문법을 숙지해야하며, 데비안/우분투 계열에서 아주 간단히 설치됨

 - 운용 모드

  a. Sniffer Mode(Default): 화면에 출력, 작은 규모의 네트워크에 적합

  b. Packet Logger Mode: 지정한 장치에 출력, 기록 후 모니터링

  c. Network IDS/IPS Mode: 이상 징후 탐지, 설정에 따라 공격에 적극적으로 반응