IDS - Port Mirroring - SPAN 실습

SPAN 실습

 

 

---

GNS

 

 

1. xp, centos_minimal, centos_64 - 네트워크 설정해주기

 

win_xp 네트워크 vmnet1, 10.10.10.10, 10.10.10.254

---

centOS_minimal vmnet2, 10.10.10.20, 10.10.10.254

---

centOS_64 vmnet3 설정만. ip설정은 (와이어샤크 설치 후) 빼주기

---

xp <-> minimal 핑 되는지확인해주기

 

 

2. centOS_64 - wireshark 설치

네트워크를 잠시 VMnet0 (bridge) 해놓고, wireshark 설치.

# yum -y install # yum -y install wireshark wireshark-gnome

 

설치되면 VMnet3으로 다시 설정해주고

ip 설정 주석으로 빼주기.

vi /etc/sysconfig/network-scripts/ifcfg-eth0

 

# service network restart

 

 

3. GNS 에서 스위치 설정해주기

SW1(config)#monitor session 1 source interface fastEthernet 1/0

SW1(config)#monitor session 1 source interface fastEthernet 1/1 tx 

SW1(config)#monitor session 1 destination interface fastEthernet 1/2

SW1(config)#do show monitor session 1

 

do show monitor session 1

 

 

4. 아까 설치한 wireshark 켜놓고, ping 보내고 패킷 확인해보기

 

10.10.10.20 에서는 tx (송신) 만 설정해놨으니까 

10.10.10.20 이 source 인 것 4개만 찍혀있다.

 

---

IDS(=Intrusion Detection System)  

- 침입 탐지 시스템
  - 시스템에 대한 인가되지 않은 행위와 비 정상적인 행동을 탐지
  - 탐지된 불법 행위를 구별하여 실시간으로 침입탐지
  - 정상 트래픽의 흐름을 간섭하지 않고 단지 감시하는 기능을 제공 함
     ▪ 원본 데이터를 복사하여 검사
        ＞ 물리적 장비 → tap
        ＞ SW기능 → port mirroring
- IDS의 주요 기능 → 보안상의 위협 찾기

 

 

- N-IDS, H-IDS, D-IDS

 

 

---

NIC 들은 일반적으로 상위계층으로 전송시 해당MAC 주소와 broadcast MAC 주소

를 제외한 다른 주소를 목적지로 가진 프레임은 폐기한다.

 

다른 호스트간의 통신도 모니터링 할려면 이것을 해제

 리눅스

   # ifconfig eth0 promisc

   # ifconfig

 

promisc 모드가 아닌 때

promisc 모드로 설정했을 때

또는 packet capture 드라이버가 설치되어있어야함

리눅스는 위 처럼 PROMISC 모드가 이미 있지만, 켜주어야지 다른 호스트간의 통신도 모니터링할 수 있다.

 

윈도우즈: WinPCAP - 혼잡모드

리눅스 : libpcap