[침입탐지시스템 실습] ② SNORT 탐지 로그를 MySQL로 연동하기 (Barnyard2)

1️⃣ 실습 개요

SNORT는 네트워크 기반 침입 탐지 시스템(IDS)으로, 다양한 트래픽 탐지가 가능하지만 기본적으로 로그는 텍스트 파일로 저장된다.
Barnyard2는 SNORT가 생성하는 binary 로그(unified2 포맷)를 읽어 MySQL DB로 저장해주는 도구다.
이 실습에서는 SNORT의 탐지 결과를 Barnyard2를 통해 DB에 저장하고, SQLyog로 조회해보는 전 과정을 정리했다.

---

🔹실습 환경

• 가상화: VirtualBox
• OS: CentOS 7
• IDS: SNORT 2.9.20
• 로그 수집기: Barnyard2
• DB: MySQL 8.0
• 클라이언트 툴: SQLyog
• 원격 접속: PuTTY

 

2️⃣ MySQL 설치 및 기본 설정

• MySQL 8 설치를 위한 공식 저장소를 추가한 후, ``mysql-server 및 개발 관련 라이브러리(mysql-devel)를 설치한다

🔹1. MySQL 저장소 등록

rpm -ivh https://dev.mysql.com/get/mysql80-community-release-el7-11.noarch.rpm

---

🔹2. MySQL 서버 및 개발 패키지 설치

• MySQL 서버와 C API 연동을 위한 개발 패키지 설치

yum install mysql-server mysql-devel -y

---

🔹3. MySQL 서비스 시작 및 상태 확인

• MySQL 데몬을 실행하고, 정상 작동 여부를 확인

service mysqld start
service mysqld status

 

3️⃣ MySQL 보안 정책 완화 (개발용 설정)

🔹1. 패스워드 정책 낮추기

• 비밀번호 만료 제거 및 복잡도 요구 조건 제거
• 외부 잠금 비활성화 및 DNS 해제

echo >> /etc/my.cnf
echo "default_password_lifetime=0" >> /etc/my.cnf
echo "validate_password.policy=LOW" >> /etc/my.cnf
echo "validate_password.length=6" >> /etc/my.cnf
echo "validate_password.special_char_count=0" >> /etc/my.cnf
echo "validate_password.mixed_case_count=0" >> /etc/my.cnf
echo "validate_password.number_count=0" >> /etc/my.cnf
echo "skip_external_locking" >> /etc/my.cnf
echo "skip_name_resolve " >> /etc/my.cnf

 

• ``/etc/my.cnf`` 파일에서 작성 결과 확인

vi /etc/my.cnf

---

🔹2. MySQL 재시작

• 설정 반영을 위한 MySQL 재시작

 

4️⃣ MySQL 계정 설정 및 외부 접속 허용

🔹1. 임시 비밀번호 확인

• 설치 시 생성된 임시 root 비밀번호 추출

grep "temporary password is generated" /var/log/mysqld.log | grep -oP "\S+$"

---

🔹2. 비밀번호 변경 및 외부 root 계정 생성

• 패스워드 만료 상태로 접속하여 비밀번호 변경

mysql --connect-expired-password -uroot -p -e \
"alter user 'root'@'localhost' identified with mysql_native_password by 'no1ids';"

 

• 외부에서 접속 가능한 root 계정을 생성하고 모든 권한 부여

mysql -uroot -p -e "create user 'root'@'%' identified by 'no1ids';"
mysql -uroot -p -e "alter user 'root'@'%' identified with mysql_native_password by 'no1ids';"
mysql -uroot -p -e "grant all privileges on *.* to 'root'@'%' with grant option;"

 

• 생성한 패스워드로 로그인 접속 테스트

---

🔹3. SQLyog 접속 테스트

• SQLyog를 통해 원격 접속 가능 여부 확인

 

5️⃣ Barnyard2 설치

🔹1. 소스코드 다운로드 및 압축 해제

wget https://github.com/firnsy/barnyard2/archive/master.tar.gz -O barnyard2.tar.gz
tar xvzf barnyard2.tar.gz
cd barnyard2-master

---

🔹2. 빌드 및 설치

• 컴파일 환경 준비 → 구성 → 설치

mkdir /var/log/barnyard2
touch /var/log/snort/barnyard2.temp
cp /usr/local/etc/barnyard2.conf /etc/snort/

 

---

🔹3. 로그 디렉토리 및 설정 복사

• Barnyard2 로그 파일 생성 및 설정파일 위치 조정

mkdir /var/log/barnyard2
touch /var/log/snort/barnyard2.temp
cp /usr/local/etc/barnyard2.conf /etc/snort/

---

🔹4.  barnyard2.conf 설정 수정

• MySQL DB 연결을 위한 사용자 정보 입력

vi /etc/snort/barnyard2.conf

[변경 전]
#Examples:
#	output database: log, mysql, user=root password=test dbname=db host=localhost

[변경 후]
#Examples:
output database: log, mysql, user=root password=no1ids dbname=snort host=localhost

 

 

6️⃣ Snort DB 생성 및 스키마 적용

🔹1. 테이블 구조 생성

• Barnyard2에서 사용하는 테이블 구조 생성

cd barnyard2-master/

mysql -u root -p -e "create database snort;"
mysql -u root -p -D snort < schemas/create_mysql

---

🔹2. 생성한 테이블 확인

• SQLyog에서 ``Refresh Object Browser``를 클릭하여 ``snort`` 데이터베이스/테이블 생성 확인

 

7️⃣ SNORT 룰 및 SID 매핑 설정

🔹1. SID 메시지 매핑

• SID에 해당하는 메시지를 DB에서 쉽게 확인 가능

 

8️⃣ 실행

🔹1. Barnyard2 실행

barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f alert.log -w /var/log/snort/barnyard2.tmp

옵션	설명
``-c``	설정파일 경로
``-d``	로그 디렉토리
``-f``	unified2 로그 파일 이름
``-w``	waldo 파일 경로 (중복 방지용)

---

🔹2. SNORT 실행

• SNORT 실행하여 트래픽 탐지 대기
• 리소스 특성에 따른 NIC 이름(``eth1``) 값은 현재 환경에 맞게 변경

snort -i eth1 -c /etc/snort/snort.conf

---

🔹3. Ping으로 테스트 트래픽 발생

• 외부에서 CentOS로 ping → SNORT 탐지 → Barnyard2 → DB 저장

ping 192.16856.100

 

• barnyard 실행 세션에서 트래픽 확인

---

🔹4. SQLyog에서 탐지 결과 확인

• ``event`` 테이블과 ``signature`` 테이블을 조인하여 탐지 결과 확인

SELECT a.timestamp, b.sig_name
FROM event a, signature b
WHERE a.signature = b.sig_id;

---