Suricata: 설치
# CentOS7 # Suricata-4.X
맨날 Suricata 말만 해서.
소개해 주려고 함.
IDS, 네트워크 침입! 탐지! 시스템!
이게 있으면 발생하는 네트워크 트래픽을 싸그리 잡아서 볼 수 있음.
HTTPS 는 까볼 수 없음. TLS-1.1~2 확인 가능.
Event 는 File, HTTP, FLOW, DHCP, SMTP, 등 다양함.
일단 간단하게! 리눅스 기반의 CentOS7 에서 설치를 할 수 있는데.
조금 어려 울 수 있음.
Suricata 를 잘 활용 하려면
1. NTOP 을 좀 알아야...
2. Network Packet 을 좀 알아야...
3. Network 망 구성을 좀 알아야...
4. IDS 를 좀 알아야...
등등의 제약(?)사항이 좀 있음.
설치는 간단하게 할 수 있음.
이 말은, 간단한 기능을 사용 할 수 있는 최소한의 설치를 의미함.
깊이 알고 싶다면... 연락 주시고.
일단,
yum install wget kernel-headers flex bison gcc gcc-c++ make kernel-devel man man-pages libpcap libpcap-devel libnet libnet-devel pcre pcre-devel automake autoconf libtool libyaml libyaml-devel numactl-devel zlib zlib-devel jansson-devel file file-devel subversion
관련 라이브러리 설치를 진행.
꽤나 오래 걸림.
그 사이에, Suricata 를 다운 받음
wget http://www.openinfosecfoundation.org/download/suricata-4.1.0.tar.gz
최신으로!
뭐 tar 풀고 구경을 좀 시작하면 됨.
명령어는 'tar -xzf ' 이걸로.
Suricata 압축을 풀고 디렉터리를 이동함.
# ./configure
# make
# make install-full
...
설치 완료 후,
# suricata --build-info
하면 뭔가가 쭈욱~ 하고 나옴. 설치가 잘 되었다는 뜻.
이게 끝!
사실 libcap, pf_ring 등등 다른 설치 모듈들이 있지만.. 그건 10g 이상의 영역에서 필요한 것.
실행은,
# suricata -c /usr/local/etc/suricata/suricata.yaml -i eth0
일단, suricata.yaml 을 잘 봐야 Suricata를 좀 더 멋지게 활용 할 수 있음.
eth0 는 당신의 Network interface 이름.
보통 Log 는 /var/log/suricata/ 에서 확인 가능.
eve.json, stats.log 등의 파일이 보임.
tail 걸어서 보면 몇 가지 재미있는 로그가 보이기 시작함.
끝.
