Contents
1. SNORTインストール
クラッカーによる不正アクセスを検知するIDS(Intrusion Detection System)を導入します。
オープンソースのネットワーク型IDS の代表とも言えるSnort を導入します。
1. 1 SNORTインストール
①インストール
|
1 |
# apt install snort |
②NIDS モードで実行するように Snort を設定
システムの Snort を構成する必要があります。これには、一部の構成ファイルの編集、Snort が従うルールのダウンロード、およびテストの実行のための Snort の実行が含まれます。
下のコマンドを使用して共有ライブラリを更新する作業を開始します。
|
1 |
# ldconfig |
1. 2 ユーザー名とフォルダー構造の設定
ルートアクセスなしで Debian で Snort を安全に実行するには、新しい特権のないユーザーと、デーモンを実行するための新しいユーザーグループを作成する必要があります。
|
1 2 |
# groupadd snort # useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort |
Then create the folder structure to house the Snort configuration, just copy over the commands below./etc/snort/rules
/var/log/snort
/usr/lib/snort_dynamicrules
ディレクトリーはインストール時に作成されている。アクセス権限と所有者の変更
|
1 2 3 |
# chmod -R 5775 /etc/snort # chmod -R 5775 /var/log/snort # chmod -R 5775 /usr/lib/snort_dynamicrules |
|
1 2 3 |
# chown -R snort:snort /etc/snort # chown -R snort:snort /var/log/snort # chown -R snort:snort /usr/lib/snort_dynamicrules |
下記ファイル作成
|
1 2 3 |
# touch /etc/snort/rules/white_list.rules # touch /etc/snort/rules/black_list.rules # touch /etc/snort/rules/local.rules |
1. 3 検出ルールの設定
①コミュニティルールの使用
コミュニティルールを取得
|
1 |
# wget https://www.snort.org/rules/community -O ~/community.tar.gz |
ルールを抽出し、構成フォルダーにコピー
|
1 2 |
# tar -xvf ~/community.tar.gz -C ~/ # cp ~/community-rules/* /etc/snort/rules |
不要な行をコメントアウト
|
1 |
# sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf |
②登録済みユーザールールの取得
Snortのウェブサイトに登録することができます。登録すると、Oink コードを使用して登録済みユーザールールをダウンロードできます。コードは Snort ユーザーアカウントの詳細にあります。
次のコマンドのoinkcode を個人コードに置き換えます。
|
1 |
# wget https://www.snort.org/downloads/registered/snortrules-snapshot-29130.tar.gz?oinkcode=<oinkcode> -O ~/registered.tar.gz |
構成ディレクトリにルールを抽出
|
1 |
# tar -xvf ~/registered.tar.gz -C /etc/snort |
1.4 ネットワーク・セットおよびルール・セットの構成
構成ファイルとルールファイルを配置した後、snort.conf を編集します。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
# vi /etc/snort/snort.conf 以下のセクションを見つけ、次のように変更します。 # Setup the network addresses you are protecting ipvar HOME_NET 192.168.11.82/32 ← 192.168.11.82は例で自サーバーのローカールIP # Set up the external network addresses. Leave as "any" in most situations ipvar EXTERNAL_NET !$HOME_NET # Path to your rules files (this can be a relative path) var RULE_PATH /etc/snort/rules var SO_RULE_PATH /etc/snort/so_rules var PREPROC_RULE_PATH /etc/snort/preproc_rules # Set the absolute path appropriately var WHITE_LIST_PATH /etc/snort/rules var BLACK_LIST_PATH /etc/snort/rules Step #6 まで下にスクロールし # unified2 # Recommended for most installs output unified2: filename snort.log, limit 128 ファイルの一番下までスクロール include $RULE_PATH/local.rules コミュニティ ルールを使用している場合は追加 include $RULE_PATH/community.rules |
1.5 設定の検証
構成をテストし、テスト・モードを使用可能にします。
|
1 |
# snort -T -c /etc/snort/snort.conf |
構成テストを実行すると、次の例のようなメッセージが表示されます
| --== Initialization Complete ==--
,,_ -*> Snort! <*- Rules Engine: SF_SNORT_DETECTION_ENGINE Version 3.0 Snort successfully validated the configuration! |
バグかもしれないが 3522行目のsid:43004 と3861行目のsid:49090を無効にしないとエラーが出る場合があります。
1.6 構成のテスト
Snort がアラートをログに記録しているかどうかをテストするには、着信 ICMP 接続に関するカスタム検出ルールアラートを local.rules ファイルに追加します。
|
1 2 3 |
# vi /etc/snort/rules/local.rules ファイルの末尾に次を追加 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;) |
サーバーのパブリック IP アドレス (eno1,eth1 など) を持つ正しいネットワーク インターフェイスを選択する必要があります。
|
1 |
# snort -A console -i <interface名> -u snort -g snort -c /etc/snort/snort.conf |
上記コマンド「# snort -A console -i <interface名> -u snort -g snort -c /etc/snort/snort.conf」を入力した状態を維持して、他の同一network内のPC(Windowsなど)からサーバーにpingしますとICMP 呼び出しごとに下記のような通知が表示されます。
07/12-11:20:33.501624 [**] [1:10000001:1] ICMP test [**] [Priority: 0] {ICMP} 83.136.252.118 -> 80.69.173.202
アラートが表示されたら、Ctrl+Cで Snort を停止
Snort は、/var/log/snort/snort.log.<timestamp> の下のログにアラートを記録します。ログは、下のコマンドで読み取ることができます。
|
1 |
# snort -r /var/log/snort/snort.log.<id_number> |
1.7 バックグラウンドで Snortを実行する
Snort のスタートアップスクリプトを追加しバックグラウンドでサービスを実行します。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
# vi /lib/systemd/system/snort.service 新規ファイル内容 [Unit] Description=Snort NIDS Daemon After=syslog.target network.target [Service] Type=simple ExecStart=/usr/sbin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eno1 [Install] WantedBy=multi-user.target |
systemctl デーモンを再ロードします。
|
1 2 |
# systemctl daemon-reload # systemctl start snort |
サービスの状態を確認
|
1 |
# systemctl status snort |
2.Tripwireインストール
tripwireはLinux 環境用のホストベースの侵入検知システム (IDS) です。tripwire IDSの主な機能は、Linuxシステム上の不正な変更(ファイルおよびディレクトリ)を検出して報告することです。tripwireのインストール後、ベースラインデータベースが最初に作成され、新しいファイルの追加/作成、ファイルの変更、それを変更したユーザーなどの変更を監視し、検出します。変更が正当な場合は、tripwire データベースを更新する変更を受け入れることができます。
2.1 インストール
|
1 |
# apt install tripwire |
Tripwire は、「tw.cfg」tripwire構成ファイルと 「tw.pol」tripwireポリシーファイルをセキュリティで保護するためにサイトパスフレーズを必要とします。指定されたパスフレーズを使用して両方のファイルを暗号化します。 サイトパスフレーズは、単一インスタンスのtripwireに対しても必要です。
②ローカルキーパスフレーズ
tripwireデータベースとレポートファイルの保護にはローカルパスフレーズが必要です。tripwireベースラインデータベースの不正な変更を避けるためにtripwireが使用するローカルキー。
③tripwire構成パス
tripwireの設定は /etc/tripwire/twcfg.txt ファイルに保存されています。暗号化された構成ファイル tw.cfg を生成するために使用されます。
④tripwire ポリシー パス
tripwireは/etc/tripwire/twpol.txtファイルにポリシーを保存します。これは、tripwire で使用される暗号化されたポリシー ファイル tw.pol の生成に使用されます。
再度サイトキーパスフレーズの入力を求められる
再度ローカールキーパスフレーズの入力を求められる
インストールが進みます。
2.2 構成ファイルの設定
①トリップワイヤ構成ファイル (twcfg.txt)
トリップワイヤ構成ファイル (twcfg.txt) の詳細を以下の通りです。暗号化されたポリシー ファイル (tw.pol)、サイトキー (site.key)、およびローカルキー (ホスト名ローカル.key) などのパスは以下の通りです。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
ROOT =/usr/sbin 実行ファイル POLFILE =/etc/tripwire/tw.pol DBFILE =/var/lib/tripwire/$(HOSTNAME).twd データペースファイル REPORTFILE =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr SITEKEYFILE =/etc/tripwire/site.key LOCALKEYFILE =/etc/tripwire/$(HOSTNAME)-local.key EDITOR =/usr/bin/editor LATEPROMPTING =false LOOSEDIRECTORYCHECKING =false MAILNOVIOLATIONS =true EMAILREPORTLEVEL =3 REPORTLEVEL =3 SYSLOGREPORTING =true MAILMETHOD =SMTP SMTPHOST =localhost SMTPPORT =25 TEMPDIRECTORY =/tmp |
②キーの作成やデータベース作成等の初期設定
|
1 2 3 4 5 6 7 8 9 |
# cd /etc/tripwire # vi twcfg.txt 9 行目あたり 行頭に「#」を追加し、その下の行に「LOOSEDIRECTORYCHECKING =true」を追加します。 設定が false だと、ディレクトリの中にあるファイルを削除や変更した際に、そのファイルに関する警告と、 ディレクトリに変更があったという警告の 2 つが報告されてしまう為、ディレクトリの警告を非常時にする ため true を設定します。 #LOOSEDIRECTORYCHECKING =false LOOSEDIRECTORYCHECKING =true # 12行目:必要に応じて変更 (レポートレベル : 4 が最大) REPORTLEVEL =4 |
設定ファイル生成
|
1 2 3 4 |
# cd /etc/tripwire # twadmin -m F -c tw.cfg -S site.key twcfg.txt Please enter your site passphrase: <サイトキーパスワード> Wrote configuration file: /etc/tripwire/tw.cfg |
③ポリシー最適化スクリプトを作成し、ポリシーを最適化する
|
1 |
# vi twpolmake.pl |
スクリプト内容
| #!/usr/bin/perl # Tripwire Policy File customize tool # ---------------------------------------------------------------- # Copyright (C) 2003 Hiroaki Izumi # This program is free software; you can redistribute it and/or # modify it under the terms of the GNU General Public License # as published by the Free Software Foundation; either version 2 # of the License, or (at your option) any later version. # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the # GNU General Public License for more details. # You should have received a copy of the GNU General Public License # along with this program; if not, write to the Free Software # Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA. # ---------------------------------------------------------------- # Usage: # perl twpolmake.pl {Pol file} # ---------------------------------------------------------------- # $POLFILE=$ARGV[0];open(POL,"$POLFILE") or die "open error: $POLFILE" ; my($myhost,$thost) ; my($sharp,$tpath,$cond) ; my($INRULE) = 0 ;while (<POL>) { chomp; if (($thost) = /^HOSTNAME\s*=\s*(.*)\s*;/) { $myhost = hostname ; chomp($myhost) ;if ($thost ne $myhost) { $_="HOSTNAME=\"$myhost\";" ; } } elsif ( /^{/ ) { $INRULE=1 ; } elsif ( /^}/ ) { $INRULE=0 ; } elsif ($INRULE == 1 and ($sharp,$tpath,$cond) = /^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+)$/) { $ret = ($sharp =~ s/\#//g) ; if ($tpath eq '/sbin/e2fsadm' ) { $cond =~ s/;\s+(tune2fs.*)$/; \#$1/ ; } if (! -s $tpath) { $_ = "$sharp#$tpath$cond" if ($ret == 0) ; } else { $_ = "$sharp$tpath$cond" ; } } print "$_\n" ; } close(POL) ; |
最適化する
|
1 2 3 4 |
# cd /etc/tripwire # perl twpolmake.pl twpol.txt > twpol.txt.new # twadmin -m P -c tw.cfg -p tw.pol -S site.key twpol.txt.newPlease enter your site passphrase: <サイトキーパスワード> Wrote policy file: /etc/tripwire/tw.pol |
④データベース作成
|
1 2 |
# tripwire -m i -s -c tw.cfg Please enter your local passphrase: <ローカルキーパスワード> |
2.3 Tripwire の動作確認
①テスト用ファイルを作成
|
1 |
# echo test > /root/test.txt |
②Tripwire の動作確認
|
1 |
# tripwire -m c -s -c /etc/tripwire/tw.cfg |
以下のように表示される
| Open Source Tripwire(R) 2.4.3.1 Integrity Check Report
Report generated by: root =============================================================================== Host name: dlp.srv.world =============================================================================== ------------------------------------------------------------------------------- Rule Name Severity Level Added Removed Modified Total objects scanned: 20051 =============================================================================== ------------------------------------------------------------------------------- ------------------------------------------------------------------------------- Added: =============================================================================== No Errors ------------------------------------------------------------------------------- Open Source Tripwire 2.4 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered |
③テスト用ファイルを削除
|
1 |
# rm -f /root/test.txt |
2.4 Tripwire 自動実行スクリプト
①スクリプト作成
|
1 2 |
# cd ~/ # vi tripwire.sh |
スクリプト内容
| #!/bin/bash
#========================================================================= PATH=/usr/sbin:/usr/bin:/bin:/usr/local/tripwire/sbin # パスフレーズ設定 cd /etc/tripwire # Tripwireチェック実行 # ポリシーファイル最新化 # データベース最新化 |
②権限を与えCronに登録
|
1 |
# chmod 700 tripwire.sh |
|
1 2 3 |
# crontab -e 以下追記 0 3 * * * ~/tripwire.sh |
