NIDS(네트워크 침입 탐지 시스템)를 사용하여 CentOS 서버를 보호하는 방법

NIDS(네트워크 침입 감지 시스템)를 사용하여 CentOS 서버를 보호하는 방법

소개:
현대 네트워크 환경에서는 서버 보안이 매우 중요합니다. 공격자는 다양한 수단을 사용하여 당사 서버에 침입하여 민감한 데이터를 훔치거나 시스템을 손상시키려고 합니다. 서버 보안을 보장하기 위해 NIDS(네트워크 침입 탐지 시스템)를 사용하여 잠재적인 공격을 실시간으로 모니터링하고 탐지할 수 있습니다.

이 글에서는 CentOS 서버에서 NIDS를 구성하고 사용하여 서버를 보호하는 방법을 소개합니다.

1단계: SNORT 설치 및 구성
SNORT는 네트워크 트래픽을 모니터링하고 가능한 공격을 탐지하는 데 사용할 수 있는 오픈 소스 침입 탐지 시스템입니다. 먼저 SNORT를 설치해야 합니다.

1. 터미널을 열고 루트 권한으로 서버에 로그인하세요.
2. SNORT를 설치하려면 다음 명령을 사용하세요.

yum install epel-release
yum install snort

3. 설치가 완료된 후 SNORT를 구성해야 합니다. 먼저, 새로운 구성 파일을 생성해야 합니다. 다음 명령을 사용하여 새 구성 파일을 만들고 엽니다.

cp /etc/snort/snort.conf /etc/snort/snort.conf.backup
vim /etc/snort/snort.conf

4. 구성 파일에서 SNORT는 필요에 따라 사용자 정의할 수 있습니다. 또한 해당 기능을 활성화하려면 다음 줄의 주석 처리를 제거하십시오.

include $RULE_PATH/local.rules
include $RULE_PATH/snort.rules
include $RULE_PATH/community.rules

5. 구성 파일을 저장하고 닫습니다.

2단계: NIDS 규칙 구성
SNORT에서 규칙은 탐지하려는 공격 유형을 정의하는 데 사용됩니다. 기존 규칙 세트를 사용하거나 사용자 정의 규칙을 만들 수 있습니다.

1. 터미널을 열고 다음 명령을 사용하여 SNORT 규칙 디렉터리를 입력합니다.

cd /etc/snort/rules/

2. 다음 명령을 사용하여 최신 규칙 세트를 다운로드합니다.

wget https://www.snort.org/downloads/community/community-rules.tar.gz
tar -xvf community-rules.tar.gz

3. 다운로드 및 추출이 완료된 후 규칙을 찾을 수 있습니다. 규칙 디렉터리에 있는 파일입니다. 이러한 규칙 파일의 확장자는 .rules입니다.
4. 사용자 정의 규칙을 추가하려면 새 규칙 파일을 만들고 그 안에 규칙을 추가할 수 있습니다. 예를 들어, 다음 명령을 사용하여 custom.rules라는 규칙 파일을 생성할 수 있습니다.

vim custom.rules

5. 규칙 파일에 사용자 정의 규칙을 추가할 수 있습니다. 예는 다음과 같습니다.

alert tcp any any -> any any (msg:"Possible SSH brute force attack"; 
                         flow:from_client,established; content:"SSH-"; 
                         threshold:type limit, track by_src, count 5, 
                         seconds 60; sid:10001; rev:1;)

6. 규칙 파일을 저장하고 닫습니다.

3단계: SNORT 시작 및 트래픽 모니터링
SNORT 및 규칙을 구성한 후 SNORT를 시작하고 트래픽 모니터링을 시작할 수 있습니다.

1. 터미널을 열고 다음 명령을 사용하여 SNORT를 시작합니다.

snort -A console -c /etc/snort/snort.conf -i eth0

그 중 -A console은 경고 메시지를 콘솔에 출력하도록 지정하고, -c /etc/snort/snort.conf는 SNORT를 사용하도록 지정합니다. 이전에 구성한 구성 파일인 -i eth0은 모니터링할 네트워크 인터페이스를 지정합니다.

2. SNORT는 트래픽 모니터링을 시작하고 잠재적인 공격을 감지합니다. 의심스러운 활동이 있으면 경고 메시지를 생성하여 콘솔에 출력합니다.

4단계: SNORT 알람 알림 설정
알람 메시지를 제때 받으려면 이메일 알림 기능을 사용하여 이메일 주소로 알람 메시지를 보낼 수 있습니다.

1. 터미널을 열고 다음 명령을 사용하여 이메일 알림 플러그인을 설치하세요.

yum install barnyard2
yum install sendmail

2. 설치가 완료되면 새 구성 파일을 만들어야 합니다. 샘플 구성 파일을 복사하고 다음 명령을 사용하여 새 구성 파일을 엽니다.

cp /etc/barnyard2/barnyard2.conf /etc/barnyard2/barnyard2.conf.backup
vim /etc/barnyard2/barnyard2.conf

3. 구성 파일에서 다음 줄을 찾아 주석 처리를 제거합니다.

output alert_syslog_full
output database: log, mysql, user=snort password=snort dbname=snort host=localhost
output alert_fast: snort.alert

config reference_file: reference.config
config classification_file:classification.config
config gen_file: gen-msg.map
config sid_file: sid-msg.map

4. SMTP 서버 및 메일 확인에 따라 다음 줄을 수정합니다. 설정에 대한 적절한 수정:

output alert_full: alert.full
output log_unified2: filename unified2.log, limit 128
output smtp: email@example.com

5. 구성 파일을 저장하고 닫습니다.
6. 다음 명령을 사용하여 barnyard2를 시작하세요.

barnyard2 -c /etc/barnyard2/barnyard2.conf -d /var/log/snort/

7. 나중에 SNORT가 의심스러운 활동을 감지하면 경고 메시지를 생성하여 지정된 이메일 주소로 보냅니다.

결론:
NIDS(네트워크 침입 감지 시스템)를 배포하여 CentOS 서버를 보호하는 것이 매우 중요합니다. SNORT를 사용하여 네트워크 트래픽을 모니터링하고 잠재적인 공격을 탐지할 수 있습니다. 이 문서의 단계를 수행하면 SNORT를 구성하고 서버를 모니터링하고 보호하기 위한 규칙을 설정할 수 있습니다. 또한 이메일 알림 기능을 사용하여 적시에 경고 메시지를 받을 수도 있습니다.

위 내용은 NIDS(네트워크 침입 탐지 시스템)를 사용하여 CentOS 서버를 보호하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!