침입 탐지 시스템 종류
시그니처 기반 탐지 :
가장 고전적인 방식으로 이미 알려진 공격에 대한 시그니처와 비교해 탐지한다.
탐지의 정확성은 확보 할 수 있지만 새로운 공격을 탐지하지 못한다는 단점
행위 기반 탐지 :
네트워크에 흐르는 데이터를 학습하여 비정상적으로 흐르는 트래픽이나
패킷의 임계치로 이상 현상을 탐지하는 방식이다.
새로운 공격 유형을 탐지할 수 있지만 오탐이 많이 발생할 수 있다.
룰 기반 탐지 :
정의된 규칙을 활용하여 탐지하는 방식으로 특정조건이 발생하는 경우를 탐지할 수 있다.
가상머신간 외부 통신 실습
Ubuntu 등 리눅스 시스템을 라우터처럼 설정하기 위한 방법
- 커널 파라미터 설정 (net.ipv4.ip_forward)
- net.ipv4.ip_forward 항목이 0일 경우 패킷 포워딩 비활성화
- net.ipv4.ip_forward 항목이 1일 경우 패킷 포워딩 활성화
커널 파라미터 설정방법
1. 명령어 사용
커널 파라미터 목록 및 상태 확인
sudo sysctl --all | grep ip_forward
커널 파라미터 변경
sudo sysctl -w net.ipv4.ip_forward=1
2. 설정파일 변경
커널 파라미터 설정이 들어있는 파일 수정
sudo vi /etc/sysctl.conf
net.ipv4.ip_forward 항목을 검색 후, 앞 주석(#) 제거하여 설정 항목 유효하게 수정
커널 파라미터 설정 적용
sudo sysctl -p
패킷 포워딩 설정 이후, suricata의 방화벽 설정에서 NAT 설정 추가
sudo iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
외부에서 suricata 내부망쪽에 있는 웹서버에 연결을 전달하기 위한 포워딩 설정
sudo iptables -t nat -A PREROUTING -p tcp -i enp0s3 --dport 80 -j DNAT --to 192.168.56.100:80