Snort 란?
네트워크 장비에 대해 공부하다 보면 IDS, IPS 라는 용어를 접하게 된다.
IDS와 IPS의 용어를 설명하자면 다음과 같이 간단하게 설명할 수 있다.
- IDS(Intrusion Detection System) : 침입 탐지 시스템
- IPS(Intrusion Prevention System) : 침입 방지 시스템
이번 페이지에선 IDS의 대표적인 오픈소스인 Snort에 대해 알아볼 것이다.
Snort는 네이버에서 검색해보면 다음과 같은 뜻을 가지고 있다.
그렇다. 스노트는 코와 관련된 단어를 의미한다는 것을 알 수 있다!
하지만 여기서 말하는 Snort와 IDS에서의 Snort는 의미가 다르다.
IT에서 말하는 Snort는 대표적인 오픈소스 IDS로 네트워크를 통한 침투를 탐지/ 방어 하는데 사용된다.
네트워크 상에서 실시간으로 흘르는 트래픽을 분석하며 패킷 로깅(로그 생성)을 수행하는 시스템이다.
이런 Snort는 Sniffer and more에서 유래한 단어이다.
Sniffer는 네트워크 트래픽을 감시 및 분석하는 프로그램이다.
이렇게 생긴 프로그램을 업그레이드 시켜 더 강력하게 네트워크 트래픽을 감시하는 프로그램으로 만든것이 Snort이다.
이런 Snort에는 크게 4가지 기능이 존재한다.
1. 패킷 스니퍼
- Sniffer는 냄새를 맡는 사람, 냄새 탐지기 라는 의미를 가지고 있다.
- Packet + sniffer는 패킷 냄새를 맡는 탐지기, 패킷을 감시하는 기능을 의미한다.
2. 패킷 로거
- 패킷의 로그를 기록하는 기능이다.
3. IDS 기능
- 네트워크 트래픽을 이용한 침입을 탐지하는 기능이다.
4. Snort Inline(IPS) 기능
- 네트워크 망은 Inline과 Mirroring이라는 방식이 존재한다.
- Inline은 한 회선안에 직접 장비가 들어가서 해당 회선에 영향을 주는것을 의미하며 Mirroring은 패킷이 흐르는것을 복사하는 것으로 해당 회선에 영향을 주지 않는다.
- Snort는 Mirroring방식을 통해 IDS를, Inline방식으로 탐지되는 트래픽에 따라 해당 트래픽을 차단하는 기능도 수행한다.
그럼 Snort는 어떻게 동작하는 것일까?
우선 Snort의 구조는 Sniffer ->Preprocessort -> 탐색엔진 -> 출력 의 단계로 동작한다.
1. Sniffer
- 패킷을 수집하는 단계
2. Preprocessort
- 트래픽의 플러그인을 확인해 매칭되는지 확인
3. 탐색 엔진
- Snort의 시그니처라 불리는 탐지 Rule에 의해 특정 트래픽을 탐지
4. 출력
- 탐지 Rule에 의해 해당 네트워크 트래픽의 정보가 출력되거나 저장
이런 방식으로 네트워크 패킷을 수집해 플러그인이 Rule과 매칭된다면 해당 패킷에 대해 로깅을 하거나, 알람을 발생시키는 등의 행위를 한다.