[윈도우용 Snort 설치 실습 2]

4.    snort.conf 파일 설정 변경 (rule download)

아래와 같이 C:\Snort\etc\snort.conf 파일의 내용을 수정한다. 여기서 잘 못 하면 구동이 어렵다.

-----------------------------------------------------------------------------------

검색 # or you can specify the variable to be any IP address

var HOME_NET any => var HOME_NET (각자의 홈 네트워크 아이피)

-----------------------------------------------------------------------------------

검색 # List of DNS servers on your network

var DNS_SERVERS $HOME_NET => var DNS_SERVERS 192.168.136.2

-----------------------------------------------------------------------------------

검색 # such as: c:\snort\rules

var RULE_PATH ../rules => var RULE_PATH C:\Snort\rules

var PREPROC_RULE_PATH ../preproc_rules => var PREPROC_RULE_PATH C:\Snort\preproc_rules

-----------------------------------------------------------------------------------

검색 # (same as command line option --dynamic-preprocessor-lib-dir)

dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ =>

dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor

-----------------------------------------------------------------------------------

검색 # (same as command line option --dynamic-preprocessor-lib)

# dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libdynamicexample.so =>

dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dll

dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_dcerpc.dll

dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dll

dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll

dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll

dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dll

dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_ssl.dll

-----------------------------------------------------------------------------------

검색 # (same as command line option --dynamic-engine-lib)

dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so =>

dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll

-----------------------------------------------------------------------------------

검색 # such as: c:\snort\etc\classification.config

include classification.config => include C:\Snort\etc\classification.config

-----------------------------------------------------------------------------------

검색 # such as: c:\snort\etc\reference.config

include reference.config =>include C:\Snort\etc\reference.config

-----------------------------------------------------------------------------------

검색 # README.alert_order for how rule ordering affects how alerts are triggered.

include $RULE_PATH\attack-responses.rules

include $RULE_PATH\backdoor.rules

include $RULE_PATH\bad-traffic.rules

include $RULE_PATH\chat.rules

include $RULE_PATH\content-replace.rules

include $RULE_PATH\ddos.rules

include $RULE_PATH\deleted.rules

include $RULE_PATH\dns.rules

include $RULE_PATH\dos.rules

include $RULE_PATH\experimental.rules

include $RULE_PATH\exploit.rules

include $RULE_PATH\finger.rules

include $RULE_PATH\ftp.rules

include $RULE_PATH\icmp-info.rules

include $RULE_PATH\icmp.rules

include $RULE_PATH\imap.rules

include $RULE_PATH\info.rules

include $RULE_PATH\local.rules

include $RULE_PATH\misc.rules

include $RULE_PATH\multimedia.rules

include $RULE_PATH\mysql.rules

include $RULE_PATH\netbios.rules

include $RULE_PATH\nntp.rules

include $RULE_PATH\oracle.rules

include $RULE_PATH\other-ids.rules

include $RULE_PATH\p2p.rules

include $RULE_PATH\policy.rules

include $RULE_PATH\pop2.rules

include $RULE_PATH\pop3.rules

include $RULE_PATH\porn.rules

include $RULE_PATH\rpc.rules

include $RULE_PATH\rservices.rules

include $RULE_PATH\scada.rules

include $RULE_PATH\scan.rules

include $RULE_PATH\shellcode.rules

include $RULE_PATH\smtp.rules

include $RULE_PATH\snmp.rules

include $RULE_PATH\specific-threats.rules

include $RULE_PATH\spyware-put.rules

include $RULE_PATH\sql.rules

include $RULE_PATH\telnet.rules

include $RULE_PATH\tftp.rules

include $RULE_PATH\virus.rules

include $RULE_PATH\voip.rules

include $RULE_PATH\web-activex.rules

include $RULE_PATH\web-attacks.rules

include $RULE_PATH\web-cgi.rules

include $RULE_PATH\web-client.rules

include $RULE_PATH\web-coldfusion.rules

include $RULE_PATH\web-frontpage.rules

include $RULE_PATH\web-iis.rules

include $RULE_PATH\web-misc.rules

include $RULE_PATH\web-php.rules

include $RULE_PATH\x11.rules

-----------------------------------------------------------------------------------

검색 # such as: c:\snort\etc\threshold.conf\

# include threshold.conf =>include C:\Snort\etc\threshold.conf

-----------------------------------------------------------------------------------

해당 설정 파일을 모두 수정한 후에는 잘 되었는지 확인하기 위해서 CMD 창을 띄운다.

cd \snort\bin 로 해당 폴더로 이동 한 후 아래 명령어 입력한다.

cd snort –W

아래와 같은 창이 나오면 성공

그리고 나서

Snort –v –I 1(위 네트워크 디바이스 번호를 입력) 를 입력하면

이런식으로 Aert가 올라가면 성공!

이제 MySql이다.

5.    Mysql 설치

이것도 Next 클릭해서 모두 설정 하시면 됩니다.

비밀번호는 잊어버리면 안된다.

체크가 이상 없으면 성공.

6.    Mysql 설정 변경

mysql> use mysql;

mysql> delete from user where host = "%";

mysql> delete from user where host = " ";

mysql> drop database test;

mysql> show databases; ---------- mysql 하나만 있으면 성공

* snort.conf에서 지정한 Snort DB 생성(soldeskdb)

C:\Program Files\MySQL\MySQL Server 4.1\bin>mysqladmin.exe -u root -p create soldeskdb

Enter password: ****

*snort.conf에서 지정한 스노트 사용자(soldesk) 생성하고 권한 지정

C:\Program Files\MySQL\MySQL Server 4.1\bin> mysql -u root -p

Enter password: ****

mysql>grant INSERT,SELECT,UPDATE on soldeskdb.* to soldesk@localhost identified by "soldeskpw";

mysql>show grants for soldesk@localhost;

*새로 지정한 사용자의 권한 확인

mysql> show grants for soldesk@localhost;

-----------------------------------------------------------------------------------

마지막으로

C:\snort\bin>snort -T -l c:\snort\log -c C:\snort\etc\snort.conf -i 1

을 입력하면 다음과 같은 창이 나온다 주르륵

아직 테이블 설정이 아직 안되었으니 여기까지 나오면 성공~!

 

 

7.    DoTnet Framework 1.1 설치

8.    DoTnet Framework 1.1 sp1 설치

9.    Honeynet Security Concole(hsc.v2.6.0.4) 설치

(위 세 설치는 그냥 디폴트로 쭉 따라가면 된다)

 

10. 설정하기

이제 정말 마지막 설정~!

C:\Program Files\Activeworx\Honeynet Security Console\schema 폴더 아래에 있는 hsc.v104.sql를 속성 -> 읽기 전용 해제~!

hsc.v104.sql 파일 열어서 –주석 처리 되어 있는 부분을 모두 삭제한다.(--뒤에 있는 문장까지 모두 삭제한다.)

CMD 창으로 들어가서 aw_hsc 라는 이름으로 DATABASE를 생성한다.

C:\Program Files\Activeworx\Honeynet Security Console\schema>mysqladmin –u root –p create aw_hsc

그리고 나서 hsc.v104.sql로 스키마 테이블 생성해 준다

C:\Program Files\Activeworx\Honeynet Security Console\schema>mysql –D aw_hsc root –p < hsc.v104.sql

이제 mysql –u root –p로 Mysql로 들어간다.

use aw_hsc;

show tables;

해당 테이블이 형성된 것을 확인 가능하다.

사실 이 10번 부분에서 망쳤다 ㅠ_ㅠ