snortを使ってみる

侵入を探知するツールとしてsnortなるものがあるらしいので、早速インストールしてみました。

snrotのインストール

しっかりとした情報を集められなかったので、portsからインストールしました。
/usr/ports/security/snrot/からインストール出来ます。

portsからインストールすると、ファイルは以下の場所にインストールされます。
起動プログラム(snort)
/usr/local/bin
コンフィグレーションファイル(snort.conf)
/usr/local/etc
各種ルールファイル(*.rules)
/usr/local/share/snort
snrot.confの設定

snort.confファイルの中身の以下の箇所だけ変更しました。
var HOME_NET     any           →  var HOME_NET    192.168.0.0/24

var DNS_SERVERS  $HOME_NET     →  var DNS_SERVERS 192.168.0.2

■ var HOME_NET
監視するIPアドレスを記入します。 
例:var HOME_NET 192.168.0.0/24
    var HOME_NET [192.168.0.0/24, 192.168.1.0/24]
    var HOME_NET any
■ var EXTERNAL_NET 
監視対象ネットワーク以外を指定する。
通常は、全てのネットワークを指定するのが良いみたいです。 
例
  var EXTERNAL_NET !$HOME_NET
  var EXTERNAL_NET any
■ var DNS_SERVERS
監視対象のネームサーバー 
例
  var DNS_SERVERS $HOME_NET
  var HTTP_SERVERS [192.168.10.0/32]
■ var SMTP_SERVERS
監視対象のSMTP 
■ var HTTP_SERVERS 
監視対象のHTTP
■ var SQL_SERVERS
監視対象のSQLサーバー 
■ var AIM_SERVERS
デフォルトでは、AOLのIMのアドレスの監視? 
var AIM_SERVERS [64.12.24.0/24,64.12.25.0/24,64.12.26.14/24,64.12.28.0/24,64.12.29.0/24,64.12.161.0/24,64.12.163.0/24,205.188.5.0/24,205.188.9.0/24]
■ var HTTP_PORTS
■ var SHELLCODE_PORTS
監視するサービスのポート番号
snrotの起動

起動の前に、ログファイルを格納するディレクトリを作成しました。

hoge# mkdir /var/log/snort

起動するには、他に、起動するためのユーザーとグループが必要になります。
vipwで以下のユーザーを作成しました。
snort:*:507:507::0:0:snort:/:/sbin/nologin


/etc/groupに以下のグループを追加・・・。
snort:*:507:

snortの起動は簡単で、コマンドラインからsnortと打ち込むだけで起動します。
デーモンモードでスタートさせる場合は、-Dオプションを付けて起動します。 

hoge# snort -D

ちゃんと起動しているかどうかは、ログファイルのmessagesでも見て確認してください。

SNORT-LOG.GIF - 2,563BYTES

起動していれば、alertというログファイルが作られていると思います。


固定IPアドレスの環境下では、上記の設定みたいに簡単に動作させる事が出来ますが、動的IPの場合、IPアドレスが変更になった場合snortが終了してしまうみたいなので、ちょっとした工夫が必要になるみたいです。
自分の場合は以下のようにしました。
得られた情報が少なかったので、適当です。^^;

適当なので参考にしないでください。(笑)

/etc/ppp/ppp.linkup の中に、以下の内容を追加。
 !bg /usr/local/bin/snort -D -i tun0

ppp起動時に、snortが立ち上がる設定です。
インターフェースがtun0になっているのは、自分の環境がppp接続の為です。
BACK