[작성자:] black K

가상 공격 테스트와 alert → drop 전환 실습 이번 편에서는 Suricata에서 커스텀 룰을 직접 작성하고,브라우저 환경에서 가상 공격 트래픽을 재현한 뒤,alert 탐지 → drop 차단 → ELK 검증까지의 전체 흐름을 정리한다. 공격 시나리오는 아래 두 가지 유형을 다룬다. 1. 커스텀 룰 관리 구조 1.1 룰 파일 위치 Suricata 패키지 설치 환경(Ubuntu 기준)에서직접 작성하는 커스텀 룰은…

1. 이번 편의 위치와 목표 이 시리즈에서의 위치 이번 편에서 끝낼 것 2. 사전 준비 조건 이미 다음 상태라고 가정한다. Suricata 설정 확인: 기본 로그 위치: 3. 공격 패턴 준비 (로그를 만들기 위해) 이번 편에서는 아래 공격들이 이미 발생했다는 전제로 간다. 사용한 공격 예시 가상 공격은 시리즈 4편을 참고하기 바란다.중요한 건 Suricata가 alert / drop…

1. 이번 편의 전제와 목표 전제 이번 편에서 끝낼 것 2. NAT Instance 사양 및 주의사항 최소 사양 (실습 기준) Suricata IPS + ELK를 한 인스턴스에 몰아넣는 건 실습용이다.운영 환경에서는 절대 이렇게 하지 않도록 한다. 3. 커널 파라미터 설정 (필수) Elasticsearch는 이거 없으면 100% 경고 또는 기동 실패 설정: 4. Elastic APT 저장소 등록 5.…

목적 이 편에서는 다음 흐름을 실제 트래픽 기준으로 직접 검증한다. 즉, “룰이 존재한다”가 아니라 “룰이 네트워크 흐름을 실제로 제어한다”는 것을 증명하는 실습이다. 전체 실습 구조 1. 공격 테스트 전용 프라이빗 웹서버 구성 전제 조건 ssh 접속 방식은 아래 방식중 선택 2. Apache + PHP 설치 (가볍고 테스트에 적합) 확인: 3. 테스트용 웹 루트 구성 3.1…

NAT Instance 환경에서 Suricata 설치 및 NFQUEUE 기반 인라인 탐지 설정 이번 편에서는 NAT Instance 위에 Suricata를 설치하고,NFQUEUE 기반 인라인 처리 구조를 구성한다. 중요한 점은 이 단계에서는 차단(drop)을 하지 않는다는 것이다.목표는 단 하나다. 패킷이 Suricata를 반드시 통과하면서 정상적으로 분석되고,eve.json 로그가 생성되는 상태를 만드는 것 1. Suricata 설치 (Ubuntu 기준) 1.1 Suricata 설치 설치 후 버전…

1. AWS CLI v2 설치 (권장 방식) Terraform 이후에도 AWS CLI는 계속 필요하다.Ubuntu 기준, 가장 안정적인 설치 방법은 AWS 공식 설치 파일(v2) 로 설치하는것이다. aws-cli/2.x.x 형태로 버전이 나오면 정상이다. apt install awscli 방식은 간편하지만 구버전이 설치될 가능성이 높다.실습 환경에서는 v2 사용을 권장한다. 2. NAT Instance 필수 AWS 설정 확인 이 단계는 콘솔에서 반드시 직접 확인해야…

Terraform으로 최소 비용 실습 인프라 만들기 1. 목표 📌 Terraform 코드 적용 범위에 대한 안내 (중요) 이 시리즈에서 제공하는 Terraform 코드는Suricata Inline IPS 구성을 설명하기 위한 핵심 예제만을 포함한다. 실제 운영 환경에서는 이미 다음과 같은 리소스들이각자 다른 구조와 코드로 관리되고 있을 가능성이 높다. 고로, 각자의 운영환경이 달라서 오히려 혼선만 초래할 우려가 있어, 이 시리즈에서는내가 운영하고…