250103

스위치 포트 미러링 설정
config t
monitor session 1 source interface fastethernet 1/0 - 14
monitor session 1 destination interface fastethernet 1/15
end
show monitor session 1
윈도우용 IDS
리눅스용 IDS
SZ-IMS (장비)

IDS 구축( 우분투 22.04)

컨텐츠 필터링 기본 규칙
drop op $EXTERNAL_NET any <> [192.168.0.0/24] any (content:"naver"; msg:"네이버 차단"; sid:40310003; classtype:ContentsFilter; priority:2;)

형식
content:"naver";

예제) 일반 ASCII문자와 HEXA값을 혼합해서 아래와 같이 사용 가능
content:"abc|0d0a|def";
content:"|616263|";
content:""a|0d0a|b|0d0al;

패턴 규칙에 다음과 같은 특수문자는 바로 사용할 수 없어 HEXA값을 사용해서 규칙을 만들어야함
" |22|
; |3b|
: |3a|
| |7c|

만약 패턴 규칙에 http://를 넣고 싶다면
content:"http[3A|//";

!(느낌표) 기호
content:!"패턴규칙"

멀티 패턴
content:"http1.0"; content:!"200 OK";

컨텐츠 필터링 옵션
1) offset: 형식: content:"HTTP/1.1"; offset:49; -> payload의 첫번째 문자열부터 offset이 지정한 값만큼 떨어진 위치부터 해당 contents가 매칭되는지 검사
2) depth: 형식: content:"GET"; depth:3; -> payload의 첫번째 문자열부터 depth의 길이 내에 해당 content 문자열이 일치하는지 검사
3) distance: 형식: content: " GET"; content: " HTTP " ; distance:3; -> 멀티 컨텐츠가 등록되어 있을 경우에만 사용, 첫번째 content가 일치되고 distance에서 기술된 값만큼 떨어진 위치부터 두번째 content가 일치되는 지 검사
4) within: 형식: content:"GET";content:"HTTP"; within:7; -> 멀티 컨텐츠가 등록되어 있을 경우에만 사용, 첫번째 content가 매칭되고 within에서 기술된 값 내에 두번째 content가 일치되는 지 검사
5) isdataat: 형식: isdataat:125 -> 데이터의 존재 여부 검사
6) dsize: 형식: dszie:<100;(패킷 크기가 100보다 작은 지 검사) or dsize:>100;(패킷 크기가 100보다 큰 지 검사) or dszie:100<>200;(패킷 크기가 100보다 크고 200보다 작은 지 검사) -> payload의 길이를 검사함
7) nocase: 형식: content: " abcd " ;nocase -> 해당 옵션이 기술되어 있으면 content에 기술된 문자열의 대소문자를 구분하지 않음