전 세계에서 가장 많이 사용하는 침입 탐지 시스템(IDS)은 무엇일까?
외국과 국내의 많은 업체에서 상업용 IDS를 만들고 있기는 하지만 뭐니뭐니 해도 가장 많이 사용하는 침입 탐지 시스템은 Snort 이다. 전 세계의 보안 관리자, 시스템 관리자, 보안 컨설턴트들은 Snort를 이용해서 자신의 네트워크를 감시한다.
Snort는 매우 강력하면서도 유연한 오픈 소스 침입 탐지 시스템이다. 이번에 Snort 2.0이 나오면서 Snort는 이제 상업용 침입 탐지 시스템과 견주어도 뒤지지 않을 만한 엔터프라이즈 IDS의 반열에 오르게 되었다.
이 책은 Snort 2.0에 관한 모든 것을 설명한다. Snort의 설치법에서부터 규칙 최적화, 다양한 데이터 분석 툴을 사용하는 법, Snort 벤치마크 테스트에 이르기까지 Snort IDS에 대해서 상상할 수 있는 모든 것을 설명한다. 이 책을 통해 Snort 2.0을 이용해서 직접 독자의 회사/기관/가정 네트워크에 직접 IDS를 구축할 수 있을 것이다. 즉 머리 속에서만 그려 오던 `침입 탐지`를 직접 자신의 손으로 구축해 보는 맛을 느끼게 될 것이다. 그리고 단순히 Snort 만이 아닌 다른 IDS에 대한 판단 기준도 얻을 수 있을 것이다.


<책내용>

Snort 2.0 완벽 가이드

Snort는 놀랄만큼 저렴한 유지 비용과 강력한 보안 기능 때문에 기업 IT 부서에서 사용할 수 있는 가장 빠르게 성장하는 IDS의 하나가 됐다. 이 책은 Snort IDS를 다룬 첫번째 책으로서 Snort.org의 Brian Caswell이 참여했다. 독자들은 Snort의 기반 코드에 대한 귀중한 식견을 가질 것이며 복잡한 설치법, 설정법, 문제 해결법에 대한 깊은 지식을 얻을 것이다. Barnyard를 일회 실행 모드, 연속 모드, 연속 + 검사점 모드중 하나로 실행한다.

1. Snort의 기능을 탐험한다
Snort를 강력하게 만드는 핵심 기능인 패킷 스니핑, 패킷 로깅, 침입 탐지 기능을 살펴본다.

2. Snort를 설치한다
Linux와 Microsoft 윈도우에서 Snort를 설치하는 법을 배운다.

3. 규칙 액션 옵션을 이해한다
pass, log, alert, dynamic, activate중 어떤 옵션을 사용할지 결정한다.

4. 어떤 규칙을 활성화할지 결정한다
당신의 네트워크에서 사용하는 핵심 프로토콜과 서비스를 찾아내고 증거 로그를 얼마나 자세히 남겨야 할 지도 결정한다.

5. stream4와 frag2 전처리기를 정복한다
stream4와 frag2 전처리기를 사용하여 Snort의 기본 규칙-기반, 패턴-매칭 모델을 향상시킨다.
6. 통합 로그를 설정한다
통합 로그를 사용해서 Snort 센서의 효율을 높이고 Snort 엔진의 부하를 줄인다.

7. 출력 플러그-인을 관리한다
Swatch, ACID, SnortSnarf, IDSCenter, 기타 플러그-인을 설치하고 사용함으로써 로그 파일을 모니터링한다.

8. 규칙을 갱신한다
새로운 규칙을 업데이트하는 반 자동 툴인 oinkmaster 사용법을 배운다.

9. Barnyard를 설치하고 구성한다
Barnyard를 일회 실행 모드, 연속 모드, 연속 + 검사점 모드중 하나로 실행한다.

<저자 소개>

Jay Beale은 호스트 잠금(lockdown)과 보안 감사(audit)를 주로 다루는 보안 전문가다. 그는 Linux, HP-UX, Mac OS X용 시스템 보안 강화 스크립트를 만드는 프로젝트인 Bastille의 주 개발자다. 그리고 그는 Honeynet 프로젝트의 멤버이며 Center for Internet Security의 핵심 참여자다. Jay는 Black Hat과 LinuxWorld 컨퍼런스를 비롯한 여러 행사에서 발표를 한다 그는 UNIX Unleashed 책의 Host Lockdown 장과 Red Hat Internet Server의 보안 부분을 저술했다. 그는 현재 Locking Down Linux라는 책의 마무리 작업을 하고 있다. 그는 현재 볼티모어에 있는 회사인 JJBSec, LLC의 보안 컨설턴트와 강사로 일하고 있다.


<저자 서문>

오늘날과 같이 인터넷 연결이 점점 늘어나고 있는 세상에서는 침입, 서비스 거부, 여러 네트워크 남용 위협이 상존하고 있다. 이러한 도전에 맞서서 여러 회사가 네트워크-기반 공격을 막고 탐지하는 소프트웨어를 만들고 있다. 그렇지만 몇천불 또는 몇만불에 달하는 침입 탐지 소프트웨어들에 대항하는 강력한 경쟁자가 있다. 그것이 바로 Snort이다. Snort는 효율적이고, 안정적이며, 점점 사용자가 늘고 있다. 무엇보다도, Snort는 무료다.
Snort를 만든 Marty Roesch는 Snort를 경량 침입 탐지 시스템으로 소개했다. 그렇지만 Snort는 전혀 경량 시스템이 아니다. Snort 는 가정 사용자에서 기업 네트워크에 이르기까지 실시간 IP 트래픽 분석과 패킷 로깅을 할 수 있다. Snort의 규칙-기반 탐지 엔진은 CGI 스캔, 버퍼 오버플로우, SMB 정탐과 같은 여러 공격을 탐지할 수 있으며 당신의 네트워크를 통한 허가받지 않은 접근도 추적할 수 있다. 그리고 해커들이 탐지를 피하기 위해 사용하는 여러 회피 공격도 찾아낼 수 있다.
Snort 는 다양한 하드웨어 플랫폼과 OS에서 동작한다. Snort는 확장성이 큰 데다가 오픈 소스이기 때문에 여러 환경에서 침입 탐지 시스템으로 쓰이고 있다. 이미 Snort를 사용한 침입 탐지 시스템에 수천불의 돈을 투자한 관리자를 흔히 볼 수 있다.
Snort 의 핵심에는 네트워크 패킷 스니퍼가 있다. 규칙을 지정하지 않고 Snort 를 실행하면 동일 네트워크 세그먼트를 지나가는 모든 트래픽을 볼 수 있을 것이다. 그렇지만 Snort를 진정으로 강력하게 만드는 것은 규칙 처리기이다. 유연하면서도 강력한 규칙 언어를 사용하면 모든 네트워크 트래픽을 분석해서 특수한 패킷을 처리할 수 있다. 특정한 네트워크 트래픽을 발견할 경우 Snort는 그것을 무시하거나, 기록하거나, 관리자에게 경고를 보낼 수 있다. Snort는 Syslog, 일반 텍스트 또는 XML 파일, 심지어 윈도우 클라이언트에게는 WinPopup 메시지를 통해 로그/경고를 기록할 수 있다. 새로운 공격이 나타날 경우 규칙만 추가하면 Snort를 갱신할 수 있다.
비록 Snort가 간단하게 설계되긴 했지만 Snort를 사용하는 것이 아주 간단한 것은 아니다. Snort를 사용하려면 먼저 Snort의 기능에 익숙해 져야 한다. 이 책에서는 Snort 시작하는 법에서 고급 규칙 설정에 이르는 다양한 Snort 사용법을 설명하고, 설치, 전처리기 설정, Snort 최적화와 같은 Snort의 모든 부분을 다룬다. 이 책의 저자는 다른 곳에서 찾아볼 수 없는 귀중한 경험과 통찰력을 제공하고 있다. 이렇게 Snort를 설치하고, 설정하고, 사용하는 법을 완전하고 깊이 있게 설명한 문서는 지금까지 없었다.
Snort를 상업용 침입 탐지 애플리케이션과 바로 비교할 수는 없다. 그렇지만 악성 트래픽을 탐지하는데 있어서 Snort는 그 역할을 매우 잘 수행한다. 그렇지만 그것을 잘 하려면 Snort 규칙을 잘 사용하는 법을 배워야 한다. ⑤장 규칙 가지고 놀기에서는 Snort 규칙의 구성 요소를 분석하고 효과적인 규칙 작성법(여러 변수, 옵션, 액션을 사용해서)을 살펴본다.
⑥장 전처리기와 ⑦장 Snort 출력 플러그-인 구현에서는 Snort를 기존의 네트워크 환경과 쉽게 통합될 수 있도록 하는 전처리기와 출력 옵션에 대해 자세히 살펴 본다. 이 책의 마지막 몇 장에서는 Snort의 고급 사용법에 대한 훌륭한 정보가 담겨 있다.
Snort는 쓰기 쉬운 그래픽 인터페이스, 멋진 리포트, 온라인 도움말을 제공하지는 않는다. Snort가 하는 것은 침입 탐지이며 그 작업을 매우 잘 수행한다. Snort의 강력한 규칙 엔진과 단순한 구조는 당신이 이미 가지고 있는 상업용 IDS를 보조하거나 심지어 대체할 수도 있다. Snort는 필수적인 네트워크 보안 툴이다. 그리고 이 책은 Snort를 사용해 네트워크를 보호하고자 하는 모든 사람에게 있어 필수적인 참고 자료다.

- Mark Burnett

<역자 소개>

강유는 서울대 컴퓨터공학과 출신으로 1999년 서울대 보안 동아리 가디언을 만들었고 초대 회장을 지냈다.
다수의 보안 제품을 개발했고 여러 기관/단체에서 보안 강의를 했다.
<리눅스 해킹 퇴치비법>, <네트웍 해킹 퇴치비법>의 역자이며, <강유의 해킹&보안 노하우>의 저자다.
현재 보안 관련 시리즈 에디터로 활동 중이다.


<역자 서문>

잊을만 하면 새로운 웜이 튀어나와서 보안에 관심 있는 사람들 마음을 자극 하고 있다. 웜이나 보안 사고가 집요하리만큼 계속해서 일어나고 있지만 아직은 그것을 탐지하고 대응하는 법을 아는 사람은 드물다. 이러한 상황에서 웜 수사 지침과도 같은 Snort 2.0에 관한 책을 다룰 기회를 갖게 되어서 매우 기쁘다.
전 세계에서 가장 많이 사용하는 침입 탐지 시스템(IDS)은 무엇일까?
외국과 국내의 많은 업체에서 상업용 IDS를 만들고 있기는 하지만 뭐니뭐니 해도 가장 많이 사용하는 침입 탐지 시스템은 역시 Snort 이다. 전 세계의 보안 관리자, 시스템 관리자, 보안 컨설턴트들은 Snort를 이용해서 자신의 네트워크를 감시한다.
Snort는 매우 강력하면서도 유연한 오픈 소스 침입 탐지 시스템이다. 이번에 Snort 2.0이 나오면서 Snort는 이제 상업용 침입 탐지 시스템과 견주어도 뒤지지 않을 만한 엔터프라이즈 IDS의 반열에 오르게 되었다.
이 책은 Snort 2.0에 관한 모든 것을 설명한다. Snort의 설치법에서부터 규칙 최적화, 다양한 데이터 분석 툴을 사용하는 법, Snort 벤치마크 테스트에 이르기까지 Snort IDS에 대해서 상상할 수 있는 모든 것을 설명한다. 이 책을 통해 Snort 2.0을 이용해서 직접 독자의 회사/기관/가정 네트워크에 직접 IDS를 구축할 수 있을 것이다. 머리 속에서만 그려 오던 '침입 탐지'를 직접 자신의 손으로 구축해 보는 맛을 느끼게 된다는 것이다. 그리고 단순히 Snort 만이 아닌 다른 IDS에 대한 판단 기준도 얻을 수 있을 것이다.
이 보석같은 책을 통해 독자들이 직접 '침입 탐지' 란 분야를 익혀서 자신의 환경에 적용할 수 있으면 독자의 기관뿐 아니라 국내 전체적인 보안 수준도 그로 인해 향상될 것이라고 확신한다.
마지막으로 항상 내 힘이 되 주는 가족과 친구들에게 감사를 드린다. 그리고 너무나도 많이 도와주신 에이콘 출판 사장님과 편집장님, 출판사 가족분들에게 깊은 감사를 드린다.

2003년 9월 07일 강유

목차

• Chapter1. 침입 탐지 시스템
  • 침입 탐지란?
  • 취약점 3부작
  • 침입 탐지 시스템이 왜 중요한가?
    
• Chapter 2. Snort 2.0 소개
  • Snort란 무엇인가?
  • Snort 시스템 요구 사항
  • Snort 기능 탐험
  • 네트워크에서 Snort 사용
  • Snort의 보안 고려 사항
    
• Chapter 3. Snort 설치
  • Linux 배포판에 관한 짧은 얘기
  • PCAP 설치
  • Snort 설치
    
• Chapter 4. Snort; 내부 동작 방식
  • Snort 구성 요소
  • 패킷 디코딩
  • 패킷 처리
  • 규칙 파싱과 탐지 엔진 이해
  • 출력과 로그
    
• Chapter 5. 규칙 가지고 놀기
  • 설정 파일 이해
  • 규칙 헤더
  • 규칙 본문/body
  • IP 옵션
  • TCP 옵션
  • 좋은 규칙의 구성 요소
  • 규칙 테스트
  • 규칙 조정
    
• Chapter 6. 전처리기 / Preprocessor
  • 전처리기란 무엇인가?
  • 패킷 재조합을 위한 전처리기 옵션
  • 패킷 디코딩과 정규화를 위한 전처리기 옵션
  • 비정상 –기반 탐지를 위한 전처리기 옵션
  • 실험적 전처리기
  • 당신만의 전처리기 작성
    
• Chapter 7. Snort 출력 플러그-인 구현
  • 출력 플러그-인이란?
  • 출력 플러그-인 옵션 탐험
  • 자신만의 플러그-인 작성법
    
• chapter 8 데이터 분석 툴 탐험
  • Swatch 사용
  • ACID 사용
  • SnortSnart 사용
  • IDScenter 사용
    
• Chapter 9 최신 버전 유지하기
  • 패치 적용
  • 규칙 갱신
  • 규칙 갱신 테스트
  • 규칙 업데이트 버전 확인
    
• chapter 10 Snort 최적화
  • 어떤 하드웨어를 사용해야 할까?
  • 어떤 운영 체제를 사용해야 할까?
  • Snort 속도 빠르게 하기
  • Snort 벤치마킹
    
• Chapter 11. Barnyard 사용
  • Barnyard란 무엇인가?
  • Barnyard 준비와 설치
  • Barnyard는 어떻게 동작하는가?
  • 2진 로그 출력 파일 생성과 표시
  • Barnyard의 출력 옵션은 무엇인가?
  • 출력을 ‘이렇게’하고 싶은데요?
    
• Chapter 12. 고급 Snort
  • 정책-기반 IDS

p66, p67에서

----------------------------------------------------------------------
그림 3.1 내부 트래픽을 모니터링하는 Snort IDS -> 외부 트래픽을
그림 3.2 외부 트래픽을 모니터링하는 Snort IDS -> 내부 트래픽을
그림 3.2의 가운데 있는 문장 ->
이 예에서, Snort IDs 머신은 LAN 내부의 방화벽과 스위치 사이에 위치한다
----------------------------------------------------------------------