Snort 룰 작성 가이드: 헤더와 옵션의 이해

1. 개요

Snort는 오픈 소스 네트워크 침입 탐지 및 방지 시스템(NIDS/NIPS)으로, 다양한 네트워크 공격과 악의적인 활동을 탐지하는 데 사용된다. Snort 룰은 이러한 침입을 탐지하기 위해 작성되며, 패킷을 분석하고 특정 조건에 맞을 때 알림(alert)을 생성하거나 로그를 기록하는 등의 동작을 수행한다.

이 글에서는 Snort 룰의 구성 요소와 작성 방법에 대해 상세히 다룬다.

2. Snort 룰의 기본 구조

Snort 룰은 크게 헤더(Header)와 옵션(Options)으로 나뉜다. 헤더는 룰의 전반적인 동작과 네트워크 트래픽의 방향성을 정의하고, 옵션은 세부 조건과 동작을 정의한다.

2.1 헤더 구성

헤더는 다음과 같은 형태를 갖는다:

<action> <protocol> <src_ip> <src_port> -> <dst_ip> <dst_port>

• action: 룰이 트리거될 때 수행할 동작 (e.g., alert, log, pass, activate 등).
• protocol: 대상 프로토콜 (e.g., tcp, udp, icmp 등).
• src_ip/dst_ip: 출발지와 목적지 IP 주소. "any"는 모든 IP를 의미한다.
• src_port/dst_port: 출발지와 목적지 포트. "any"는 모든 포트를 의미한다.
• ->: 트래픽의 방향성을 나타냄.

2.2 옵션 구성

옵션은 세미콜론(;)으로 구분된 키-값 쌍으로 구성되며, 조건과 동작을 상세히 정의한다. 주요 옵션은 다음과 같다:

• msg: 탐지 시 생성할 메시지.
• content: 특정 패턴 매칭을 위한 문자열.
• nocase: 대소문자 구분 없이 매칭.
• depth: 패턴을 검색할 범위를 지정.
• sid: 룰의 고유 식별자.
• threshold: 이벤트 발생 빈도 조건.

3. Snort 룰의 예제 분석

아래는 Snort 룰의 예제와 그 구성 요소를 분석한 내용이다:

예제

alert tcp any any -> any 80 (msg:"HTTP Get Flooding Detect"; content:"GET /HTTP"; depth:13; nocase; threshold:type threshold, track by_src, count 10, seconds 1; sid:1000001;)

구성 분석

1. 헤더
   • alert: 패턴 매칭 시 경고(alert)를 발생시키고 로그를 남긴다.
   • tcp: 대상 프로토콜이 TCP임을 나타낸다.
   • any any -> any 80: 출발지와 목적지 IP 및 포트 조건을 정의하며, 목적지 포트는 80으로 설정되었다. 이는 HTTP 트래픽을 의미한다.
2. 옵션
   • msg:"HTTP Get Flooding Detect": 탐지 시 기록될 메시지이다.
   • content:"GET /HTTP": 패킷에서 "GET /HTTP" 문자열을 검사한다.
   • depth:13: 패턴 검색을 패킷의 첫 번째 바이트부터 13번째 바이트까지로 제한한다.
   • nocase: 대소문자를 구분하지 않고 패턴 매칭을 수행한다.
   • threshold:type threshold, track by_src, count 10, seconds 1: 출발지 IP를 기준으로 매 1초 동안 10번의 이벤트 발생 시 동작을 수행한다.
   • sid:1000001: 룰의 고유 식별자로, 고유 번호를 통해 다른 룰과 구분된다.

4. Snort 룰 작성 시 고려사항

Snort 룰을 작성할 때 다음 사항을 주의해야 한다:

4.1 명확한 트래픽 조건 정의

헤더에서 IP와 포트를 설정할 때, 불필요한 트래픽을 탐지하지 않도록 명확하게 조건을 정의해야 한다. 예를 들어, HTTP 트래픽만 탐지하고 싶다면 목적지 포트를 80으로 설정한다.

4.2 효율적인 패턴 매칭

• content와 depth 옵션을 활용해 검사 범위를 줄임으로써 성능을 향상시킬 수 있다.
• nocase 옵션은 대소문자에 관계없이 패턴 매칭이 필요한 경우 사용한다.

4.3 고유한 식별자 설정

각 룰은 고유한 sid를 가져야 한다. 이를 통해 관리와 디버깅이 용이해진다.

4.4 이벤트 빈도 제어

threshold 옵션은 과도한 알림을 방지하기 위해 활용된다. 이를 통해 탐지된 이벤트가 주기적으로 발생할 때만 동작을 수행하도록 설정할 수 있다.

5. VPN 관련 프로토콜 개요

VPN(Virtual Private Network) 구현 시 사용되는 주요 프로토콜로는 PPTP, L2F, L2TP 등이 있다. Snort 룰을 작성하는 보안 담당자는 이러한 프로토콜에 대한 이해도 필요하다.

5.1 PPTP(Point-to-Point Tunneling Protocol)

• 마이크로소프트에서 개발한 프로토콜로, RFC 2637로 표준화되었다.
• PPP(Point-to-Point Protocol)에서 제공하는 기능을 그대로 사용하며, PPP의 패킷을 IP 패킷으로 캡슐화한다.

5.2 L2F(Layer 2 Forwarding)

• 시스코에서 제안한 프로토콜이다.
• 데이터 링크 계층에서 전용 헤더로 캡슐화를 지원하며, 주어진 도메인과 사용자 ID가 VPN 사용자인지를 검증한다.

5.3 L2TP(Layer 2 Tunneling Protocol)

• PPTP와 L2F의 장점을 결합한 프로토콜이다.
• 자체적으로 암호화나 기밀성을 제공하지 않기 때문에, IPsec과 함께 사용하는 경우가 많다.

6. 다양한 Snort 룰 예제

DNS 요청 탐지 룰

alert udp any any -> any 53 (msg:"DNS Request Detected"; content:"example.com"; nocase; sid:1000002;)

ICMP 핑 탐지 룰

alert icmp any any -> any any (msg:"ICMP Ping Detected"; sid:1000003;)

FTP 로그인 탐지 룰

alert tcp any any -> any 21 (msg:"FTP Login Attempt"; content:"USER"; nocase; sid:1000004;)

7. 결론

Snort 룰은 네트워크 침입 탐지의 핵심 구성 요소로, 효과적인 보안 방어를 위해 정교하게 작성되어야 한다. Snort 룰의 헤더와 옵션을 올바르게 이해하고 활용하면 다양한 공격 패턴을 탐지할 수 있다. 본 글에서 다룬 내용과 예제를 기반으로 더 많은 룰을 작성하며 실력을 키워나가길 바란다.

또한 VPN 구현 시 사용되는 프로토콜인 PPTP, L2F, L2TP에 대한 이해는 네트워크 트래픽의 분석 및 보안 강화에 큰 도움이 된다. 이러한 프로토콜을 활용하는 네트워크 환경에서도 Snort 룰을 적절히 구성하여 다양한 위협에 대비할 수 있다.