「エアコンの安全な修理・適切なフロン回収」はこちら

OpenSUSE15.4; Snort 導入

1.SNORT インストール

Snort(スノート)とは、ネットワーク型IDS(不正侵入検知システム)です。ネットワーク上を流れるパケットをキャプチャーして、不審なパケットの検出を行います。
ソースファイルは、https://snort.org/ から直接使用します。

1.1 事前準備

必要なライブラリーのインストール

1.2 SNORTと daqダウンロード、インストール

①daqダウンロード、インストール

生成された設定ファイルを「autoreconf」というツールでシステム内に更新する。

②SNORTインストール
Luaプログラミング・インターフェースを使用しない場合は、オプション"-disable-open-appid "を追加してください。

「/usr/sbin/snort」とバイナリファイル「/usr/local/bin/snort」の間にソフトリンクを作成

1.3 ユーザーとグループ作成

1.4 ディレクトリ、ファイル作成、権限

white_list.rules, black_list.rules と local.rules作成

Snortのソースからすべての「*.conf」ファイルと「*.map」ファイルをSnortのシステムフォルダにコピー

1.5 ルールのダウンロード

①コミュニティルールをダウンロードします。
root/ フォルダに移動し、解凍して、他の場所で既に行ったように "cp" で正しいシステムディレクトリにルールをコピー

「sed」コマンドで、「snort.conf」内の不要な行をコメントアウトします。 コミュニティルール以外をインストールしない場合は、このコマンドを使って残りをコメントアウトすることができます

②Oinkmasterスクリプトのインストール
Oinkmaster スクリプトをダウンロードします。

oinkmaster.plを"/usr/local/bin/"フォルダ(Snortのソースがコンパイルされた後に "snort "のバイナリが置かれたフォルダと同じ)にコピー。
「/usr/sbin/oinkmaster.pl」ディレクトリへのソフトリンクを作成します。

oinkmaster.conf の編集
ルールを更新するために、"/etc/snort/oinkmaster.conf "にOinkcodeを含むURLを入力してください。
"snort.org "のページで登録すると無料で手に入るオリジナルのoinkcodeを入力してください。
「tmpdir = /tmp/」というパスを有効にしてください。

Snortのルールを更新するスクリプトを作成

snortルールをダウンロード

1.6 Snort設定ファイルの編集

1.7設定の確認

①設定ファイルのチェック

正常であれば次のような表示が出ます

ERROR: /etc/snort/rules/snort.conf(292) => Unable to open the IIS Unicode Map file '/etc/snort/rules/unicode.map'.
上記のようなエラーが出る場合は、該当ファイルを次のようにコピーしてください
また、「/etc/snort/rules/snort.conf(32) => Invalid keyword '}'」エラーが出る場合
該当行
decompress_swf { deflate lzma } \  をコメントにしてください
# decompress_swf { deflate lzma } \

②作動テストの準備

「local.rules」を開き、テスト用に「alert icmp any any -> $HOME_NET any (msg: "ICMP test"; sid:10000001; rev:001;) 」という行を入力

③Snortをターミナルでテストする
「ip addr」コマンドでネットワークインターフェースを先に確認し、コンソールまたはターミナルでSnortを起動する

同じネットワーク内のPCから本サーバーにpingするとサーバーのコンソール内に次のように表示される

1.8 ログファイルの確認

1.9 「snort.service」の作成

ネットワークインターフェース「eth0」は各自環境に合わし、次の内容にする

最後にSnortサービスの開始、停止、ステータス

タイトルとURLをコピーしました