Debian10でサーバー構築 SNORT、Tripwireインストール

1. SNORTインストール
2.Tripwireインストール

1. SNORTインストール

クラッカーによる不正アクセスを検知するIDS(Intrusion Detection System)を導入します。
オープンソースのネットワーク型IDS の代表とも言えるSnort を導入します。

1. 1 SNORTインストール

①インストール

# apt install snort

②NIDS モードで実行するように Snort を設定
システムの Snort を構成する必要があります。これには、一部の構成ファイルの編集、Snort が従うルールのダウンロード、およびテストの実行のための Snort の実行が含まれます。
下のコマンドを使用して共有ライブラリを更新する作業を開始します。

# ldconfig

1. 2 ユーザー名とフォルダー構造の設定

ルートアクセスなしで Debian で Snort を安全に実行するには、新しい特権のないユーザーと、デーモンを実行するための新しいユーザーグループを作成する必要があります。

# groupadd snort
# useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
Then create the folder structure to house the Snort configuration, just copy over the commands below./etc/snort/rules
/var/log/snort
/usr/lib/snort_dynamicrules

ディレクトリーはインストール時に作成されているアクセス権限と所有者の変更
# chmod -R 5775 /etc/snort
# chmod -R 5775 /var/log/snort
# chmod -R 5775 /usr/lib/snort_dynamicrules
# chown -R snort:snort /etc/snort
# chown -R snort:snort /var/log/snort
# chown -R snort:snort /usr/lib/snort_dynamicrules
下記ファイル作成
# touch /etc/snort/rules/white_list.rules
# touch /etc/snort/rules/black_list.rules
# touch /etc/snort/rules/local.rules

1. 3 検出ルールの設定

①コミュニティルールの使用

# コミュニティルールを取得
# wget https://www.snort.org/rules/community -O ~/community.tar.gz
ルールを抽出し、構成フォルダーにコピー
# tar -xvf ~/community.tar.gz -C ~/
# cp ~/community-rules/* /etc/snort/rules
不要な行をコメントアウト
# sed -i ‘s/include \$RULE\_PATH/#include \$RULE\_PATH/’ /etc/snort/snort.conf

②登録済みユーザールールの取得
Snortのウェブサイトに登録することができます。登録すると、Oink コードを使用して登録済みユーザールールをダウンロードできます。コードは Snort ユーザーアカウントの詳細にあります。
次のコマンドのoinkcode を個人コードに置き換えます。

# wget https://www.snort.org/downloads/registered/snortrules-snapshot-29130.tar.gz?oinkcode=<oinkcode> -O ~/registered.tar.gz

構成ディレクトリにルールを抽出
# tar -xvf ~/registered.tar.gz -C /etc/snort

1.4 ネットワーク・セットおよびルール・セットの構成

構成ファイルとルールファイルを配置した後、snort.conf を編集します。

# vi /etc/snort/snort.conf

以下のセクションを見つけ、次のように変更します。
# Setup the network addresses you are protecting
ipvar HOME_NET 192.168.11.82/32 　←　192.168.11.82は例で自サーバーのローカールIP

# Set up the external network addresses. Leave as “any” in most situations
ipvar EXTERNAL_NET !$HOME_NET

# Path to your rules files (this can be a relative path)
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules

# Set the absolute path appropriately
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Step #6 まで下にスクロールし
# unified2
# Recommended for most installs
output unified2: filename snort.log, limit 128

ファイルの一番下までスクロール
include $RULE_PATH/local.rules

コミュニティルールを使用している場合は追加
include $RULE_PATH/community.rules

1.5 設定の検証

構成をテストし、テスト・モードを使用可能にします。

# snort -T -c /etc/snort/snort.conf

構成テストを実行すると、次の例のようなメッセージが表示されます

–== Initialization Complete ==–

,,_ -*> Snort! <*-
o” )~ Version 2.9.12 GRE (Build 325)
”” By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2018 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.8.1
Using PCRE version: 8.39 2016-06-14
Using ZLIB version: 1.2.8

Rules Engine: SF_SNORT_DETECTION_ENGINE Version 3.0
Preprocessor Object: SF_POP Version 1.0
Preprocessor Object: SF_MODBUS Version 1.1
Preprocessor Object: SF_DNP3 Version 1.1
Preprocessor Object: SF_DNS Version 1.1
Preprocessor Object: SF_DCERPC2 Version 1.0
Preprocessor Object: appid Version 1.1
Preprocessor Object: SF_SSLPP Version 1.1
Preprocessor Object: SF_SSH Version 1.1
Preprocessor Object: SF_GTP Version 1.1
Preprocessor Object: SF_FTPTELNET Version 1.2
Preprocessor Object: SF_IMAP Version 1.0
Preprocessor Object: SF_SDF Version 1.1
Preprocessor Object: SF_SMTP Version 1.1
Preprocessor Object: SF_SIP Version 1.1
Preprocessor Object: SF_REPUTATION Version 1.1

Snort successfully validated the configuration!
Snort exiting

バグかもしれないが 3522行目のsid:43004　と3861行目のsid:49090を無効にしないとエラーが出る場合があります。

1.6 構成のテスト

Snort がアラートをログに記録しているかどうかをテストするには、着信 ICMP 接続に関するカスタム検出ルールアラートを local.rules ファイルに追加します。

# vi /etc/snort/rules/local.rules

ファイルの末尾に次を追加
alert icmp any any -> $HOME_NET any (msg:”ICMP test”; sid:10000001; rev:001;)

サーバーのパブリック IP アドレス (eno1,eth1 など) を持つ正しいネットワークインターフェイスを選択する必要があります。
# snort -A console -i <interface名> -u snort -g snort -c /etc/snort/snort.conf

上記コマンド「# snort -A console -i <interface名> -u snort -g snort -c /etc/snort/snort.conf」を入力した状態を維持して、他の同一network内のPC(Windowsなど)からサーバーにpingしますとICMP 呼び出しごとに下記のような通知が表示されます。
07/12-11:20:33.501624 [**] [1:10000001:1] ICMP test [**] [Priority: 0] {ICMP} 83.136.252.118 -> 80.69.173.202

アラートが表示されたら、Ctrl+Cで Snort を停止

Snort は、/var/log/snort/snort.log.<timestamp> の下のログにアラートを記録します。ログは、下のコマンドで読み取ることができます。

# snort -r /var/log/snort/snort.log.<id_number>

1.7 バックグラウンドで Snortを実行する

Snort のスタートアップスクリプトを追加しバックグラウンドでサービスを実行します。

# vi /lib/systemd/system/snort.service

新規ファイル内容
[Unit]
Description=Snort NIDS Daemon
After=syslog.target network.target

[Service]
Type=simple
ExecStart=/usr/sbin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

[Install]
WantedBy=multi-user.target

systemctl デーモンを再ロードします。

# systemctl daemon-reload
# systemctl start snort

サービスの状態を確認
# systemctl status snort

2.Tripwireインストール

tripwireはLinux 環境用のホストベースの侵入検知システム (IDS) です。tripwire IDSの主な機能は、Linuxシステム上の不正な変更(ファイルおよびディレクトリ)を検出して報告することです。tripwireのインストール後、ベースラインデータベースが最初に作成され、新しいファイルの追加/作成、ファイルの変更、それを変更したユーザーなどの変更を監視し、検出します。変更が正当な場合は、tripwire データベースを更新する変更を受け入れることができます。

2.1 インストール

# apt install tripwire

①サイトキーの作成
Tripwire は、「tw.cfg」tripwire構成ファイルと「tw.pol」tripwireポリシーファイルをセキュリティで保護するためにサイトパスフレーズを必要とします。指定されたパスフレーズを使用して両方のファイルを暗号化します。サイトパスフレーズは、単一インスタンスのtripwireに対しても必要です。

②ローカルキーパスフレーズ
tripwireデータベースとレポートファイルの保護にはローカルパスフレーズが必要です。tripwireベースラインデータベースの不正な変更を避けるためにtripwireが使用するローカルキー。

③tripwire構成パス
tripwireの設定は /etc/tripwire/twcfg.txt ファイルに保存されています。暗号化された構成ファイル tw.cfg を生成するために使用されます。

④tripwire ポリシーパス
tripwireは/etc/tripwire/twpol.txtファイルにポリシーを保存します。これは、tripwire で使用される暗号化されたポリシーファイル tw.pol の生成に使用されます。

再度サイトキーパスフレーズの入力を求められる

再度ローカールキーパスフレーズの入力を求められる

インストールが進みます。

2.2 構成ファイルの設定

①トリップワイヤ構成ファイル (twcfg.txt)
トリップワイヤ構成ファイル (twcfg.txt) の詳細を以下の通りです。暗号化されたポリシーファイル (tw.pol)、サイトキー (site.key)、およびローカルキー (ホスト名ローカル.key) などのパスは以下の通りです。

ROOT =/usr/sbin 実行ファイル
POLFILE =/etc/tripwire/tw.pol
DBFILE =/var/lib/tripwire/$(HOSTNAME).twd　データペースファイル
REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE =/etc/tripwire/site.key
LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key
EDITOR =/usr/bin/editor
LATEPROMPTING =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS =true
EMAILREPORTLEVEL =3
REPORTLEVEL =3
SYSLOGREPORTING =true
MAILMETHOD =SMTP
SMTPHOST =localhost
SMTPPORT =25
TEMPDIRECTORY =/tmp

②キーの作成やデータベース作成等の初期設定

# cd /etc/tripwire
# vi twcfg.txt

内容

9 行目あたり
行頭に「#」を追加し、その下の行に「LOOSEDIRECTORYCHECKING =true」を追加します。設定が false だと、ディレクトリの中にあるファイルを削除や変更した際に、そのファイルに関する警告と、ディレクトリに変更があったという警告の 2 つが報告されてしまう為、ディレクトリの警告を非常時にするため true を設定します。
#LOOSEDIRECTORYCHECKING =false
LOOSEDIRECTORYCHECKING =true# 12行目：必要に応じて変更 (レポートレベル : 4 が最大)
REPORTLEVEL =4

# 設定ファイル生成
# cd /etc/tripwire
# twadmin -m F -c tw.cfg -S site.key twcfg.txt
Please enter your site passphrase: <サイトキーパスワード>
Wrote configuration file: /etc/tripwire/tw.cfg

③ポリシー最適化スクリプトを作成し、ポリシーを最適化する

# vi twpolmake.pl

スクリプト内容

#!/usr/bin/perl
# Tripwire Policy File customize tool
# —————————————————————-
# Copyright (C) 2003 Hiroaki Izumi
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place – Suite 330, Boston, MA 02111-1307, USA.
# —————————————————————-
# Usage:
# perl twpolmake.pl {Pol file}
# —————————————————————-
#
$POLFILE=$ARGV[0];open(POL,”$POLFILE”) or die “open error: $POLFILE” ;
my($myhost,$thost) ;
my($sharp,$tpath,$cond) ;
my($INRULE) = 0 ;while (<POL>) {
chomp;
if (($thost) = /^HOSTNAME\s*=\s*(.*)\s*;/) {
$myhost = `hostname` ; chomp($myhost) ;
if ($thost ne $myhost) {
$_=”HOSTNAME=\”$myhost\”;” ;
}
}
elsif ( /^{/ ) {
$INRULE=1 ;
}
elsif ( /^}/ ) {
$INRULE=0 ;
}
elsif ($INRULE == 1 and ($sharp,$tpath,$cond) = /^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+)$/) {
$ret = ($sharp =~ s/\#//g) ;
if ($tpath eq ‘/sbin/e2fsadm’ ) {
$cond =~ s/;\s+(tune2fs.*)$/; \#$1/ ;
}
if (! -s $tpath) {
$_ = “$sharp#$tpath$cond” if ($ret == 0) ;
}
else {
$_ = “$sharp$tpath$cond” ;
}
}
print “$_\n” ;
}
close(POL) ;

最適化する

# cd /etc/tripwire
# perl twpolmake.pl twpol.txt > twpol.txt.new
# twadmin -m P -c tw.cfg -p tw.pol -S site.key twpol.txt.newPlease enter your site passphrase:　<サイトキーパスワード>
Wrote policy file: /etc/tripwire/tw.pol

④データベース作成

# tripwire -m i -s -c tw.cfg
Please enter your local passphrase:　<ローカールキーパスワード>

2.3 Tripwire の動作確認

①テスト用ファイルを作成

# echo test > /root/test.txt

②Tripwire の動作確認

# tripwire -m c -s -c /etc/tripwire/tw.cfg

以下のように表示される

Open Source Tripwire(R) 2.4.3.1 Integrity Check Report

Report generated by: root
Report created on: Thu Nov 29 19:04:52 2018
Database last updated on: Never

===============================================================================
Report Summary:
===============================================================================

Host name: dlp.srv.world
Host IP address: 10.0.0.30
Host ID: None
Policy file used: /etc/tripwire/tw.pol
Configuration file used: /etc/tripwire/tw.cfg
Database file used: /var/lib/tripwire/dlp.srv.world.twd
Command line used: tripwire -m c -s -c /etc/tripwire/tw.cfg

===============================================================================
Rule Summary:
===============================================================================

——————————————————————————-
Section: Unix File System
——————————————————————————-

Rule Name Severity Level Added Removed Modified
——— ————– —– ——- ——–
Other binaries 66 0 0 0
Tripwire Binaries 100 0 0 0
Other libraries 66 0 0 0
Root file-system executables 100 0 0 0
* Tripwire Data Files 100 1 0 0
System boot changes 100 0 0 0
Root file-system libraries 100 0 0 0
(/lib)
Critical system boot files 100 0 0 0
Other configuration files 66 0 0 0
(/etc)
Boot Scripts 100 0 0 0
Security Control 66 0 0 0
Root config files 100 0 0 0
Devices & Kernel information 100 0 0 0
(/dev)
Invariant Directories 66 0 0 0

Total objects scanned: 20051
Total violations found: 1

===============================================================================
Object Summary:
===============================================================================

——————————————————————————-
# Section: Unix File System
——————————————————————————-

——————————————————————————-
Rule Name: Tripwire Data Files (/var/lib/tripwire/dlp.srv.world.twd)
Severity Level: 100
——————————————————————————-

Added:
“/var/lib/tripwire/dlp.srv.world.twd”

===============================================================================
Error Report:
===============================================================================

No Errors

——————————————————————————-
*** End of report ***

Open Source Tripwire 2.4 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered
trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY;
for details use –version. This is free software which may be redistributed
or modified only under certain conditions; see COPYING for details.
All rights reserved.

③テスト用ファイルを削除

#　rm -f /root/test.txt

2.4 Tripwire 自動実行スクリプト

①スクリプト作成

# cd ~/
# vi tripwire.sh

スクリプト内容

#!/bin/bash

#=========================================================================
# Job Name : Tripwire定期実行スクリプト
# Description : Tripwireを定期実行する
# Owner Dept. : korodes.com
#=========================================================================

PATH=/usr/sbin:/usr/bin:/bin:/usr/local/tripwire/sbin

# パスフレーズ設定
LOCALPASS=xxxxxxxx # ローカルパスフレーズ
SITEPASS=xxxxxxxx # サイトパスフレーズ

cd /etc/tripwire

# Tripwireチェック実行
tripwire -m c -s -c tw.cfg|mail -s “Tripwire(R) Integrity Check Report in `hostname`” root

# ポリシーファイル最新化
twadmin -m p -c tw.cfg -p tw.pol -S site.key > twpol.txt
perl twpolmake.pl twpol.txt > twpol.txt.new
twadmin -m P -c tw.cfg -p tw.pol -S site.key -Q $SITEPASS twpol.txt.new > /dev/null
rm -f twpol.txt* *.bak

# データベース最新化
rm -f /usr/local/tripwire/lib/tripwire/*.twd*
tripwire -m i -s -c tw.cfg -P $LOCALPASS

②権限を与えCronに登録

# chmod 700 tripwire.sh
# crontab -e
以下追記
0 3 * * * ~/tripwire.sh

ページのトップへ