1. Snort(Pfsense) 설치와 기본 설정

패키지 관리 페이지에서 snort 설치

 

무료 Rule 설정

 

설정한 무료 Rule 업데이트

 

Snort Enable Interface

 

Rule 세팅

 

Snort 시작

 

2. 공격 IP 차단 실습

Blocking Mode를 Legacy Mode로 설정함

* Legacy Mode

  • 복사한 데이터를 검사하는 방법
  • 일단 들어오는 트래픽을 통과시킴
  • 성능은 좋지만, 공격을 나중에 탐지할 수 있음

* Inline Mode

  • 검사에 통과한 트래픽만 통과 시킴

 

공격자 IP(10.44.44.44)에서 bee-box 접근 후 크로스사이트 스크립트 구문 작성

 

구문 정상 발현

 

Alerts 목록에서 경고 구문 확인

 

Blocked에서 공격자 IP 10.44.44.44의 차단 확인

 

접근 불가 확인

 

Suppress List 설정 - 쉽게 얘기해서 룰을 추가해 해당 트래픽 허가

 

Suppress가 생성된 것을 확인할 수 있음

 

Block된 공격자 IP (10.44.44.44.) 제거

 

재공격

 

구문 정상 발현

 

공격자 IP(10.44.44.44)가 Block되지 않음

 

 

'프로젝트 > [ESXi]인프라 구축 및 모니터링' 카테고리의 다른 글

6. 웹 방화벽(modsecurity) 기본 실습  (0) 2024.11.25
5. pfsense 방화벽 정책 설정(개발자 대역)  (0) 2024.11.22
4. IDS와 IPS 스노트 룰 패턴 탐지 실습  (2) 2024.11.21
3. Securityonion을 활용한 IDS(Suricata) 구축  (0) 2024.11.20
1. 시스템 환경 구축하기(VMware ESXi)  (1) 2024.11.18

티스토리툴바