DebianでSnortを設定する方法

• 更新、アップグレード、再起動
• プリインストール構成
• データ集録ライブラリ（DAQ）のインストール
• Snortのインストール
• Snortの根を抜く

Snortは無料のネットワーク侵入検知システム（IDS）です。それほど公式ではありませんが、疑わしいアクティビティがないかネットワークをリアルタイムで監視できます。現在、SnortにはFedora、CentOS、FreeBSD、およびWindowsベースのシステム用のパッケージがあります。正確なインストール方法はOSによって異なります。このチュートリアルでは、Snortのソースファイルから直接インストールします。このガイドはDebian用に書かれました。

更新、アップグレード、再起動

実際にSnortソースを入手する前に、システムが最新であることを確認する必要があります。これを行うには、以下のコマンドを発行します。

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

プリインストール構成

システムが再起動したら、SBPPをインストールできるようにするために、いくつかのパッケージをインストールする必要があります。必要なパッケージの数がわかったので、基本的なコマンドは次のとおりです。

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

すべてのパッケージをインストールしたら、ソースファイル用の一時ディレクトリを作成する必要があります。これは、どこにでも配置できます。使用し/usr/src/snort_srcます。このフォルダーを作成するには、rootユーザーとしてログインするか、sudo権限を持っている必要がありますroot。

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

データ集録ライブラリ（DAQ）のインストール

Snortのソースを入手する前に、DAQをインストールする必要があります。インストールはかなり簡単です。

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

tarballからファイルを抽出します。

tar xvfz daq-2.0.6.tar.gz

DAQディレクトリに移動します。

cd daq-2.0.6

DAQを構成してインストールします。

./configure; make; sudo make install

その最後の行が./configure最初に実行されます。その後、実行されmakeます。最後に、それは実行されmake installます。ここでは、入力を少し節約するために、短い構文を使用しています。

Snortのインストール

私たちは/usr/src/snort_src再びディレクトリにいることを確認したいので、必ず次のようにそのディレクトリに変更してください：

cd /usr/src/snort_src

ソースのディレクトリに移動したので、ソースのtar.gzファイルをダウンロードします。この記事の執筆時点では、Snortの最新バージョンはです2.9.8.0。

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

実際にsnortをインストールするコマンドは、DAQで使用されるコマンドとよく似ていますが、オプションが異なります。

Snortソースファイルを抽出します。

tar xvfz snort-2.9.8.0.tar.gz

ソースディレクトリに移動します。

cd snort-2.9.8.0

ソースを構成してインストールします。

 ./configure --enable-sourcefire; make; sudo make install

Snortのポストインストール

Snortをインストールしたら、共有ライブラリが最新であることを確認する必要があります。これを行うには、次のコマンドを使用します。

sudo ldconfig

その後、Snortのインストールをテストします。

snort --version

このコマンドが機能しない場合は、シンボリックリンクを作成する必要があります。これを行うには、次のように入力します。

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

結果の出力は次のようになります。

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Snortの根を抜く

snortがインストールされたrootので、として実行したくないので、snortユーザーとグループを作成する必要があります。新しいユーザーとグループを作成するには、次の2つのコマンドを使用できます。

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

ソースを使用してプログラムをインストールしたので、構成ファイルとsnortのルールを作成する必要があります。

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

ディレクトリとルールを作成したら、ログディレクトリを作成する必要があります。

sudo mkdir /var/log/snort

最後に、ルールを追加する前に、動的ルールを保存する場所が必要です。

sudo mkdir /usr/local/lib/snort_dynamicrules

以前のファイルがすべて作成されたら、それらに適切な権限を設定します。

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

設定ファイルのセットアップ

大量の時間を節約し、すべてをコピーして貼り付ける必要がないように、すべてのファイルを構成ディレクトリにコピーします。

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

設定ファイルが作成されたので、次の2つのいずれかを実行できます。

• Barnyard2を有効にできます
• または、構成ファイルをそのままにして、目的のルールを選択的に有効にすることもできます。

いずれにせよ、あなたはまだいくつかのことを変えたいと思うでしょう。読み続けます。

構成

では/etc/snort/snort.conf、ファイルは、変数を変更する必要がありますHOME_NET。内部ネットワークのIPブロックに設定する必要があります。これにより、サーバーにログインしようとする独自のネットワークの試行がログに記録されなくなります。これは10.0.0.0/24または192.168.0.0/16です。45行目で/etc/snort/snort.conf、変数HOME_NETをネットワークのIPブロックの値に変更します。

私のネットワークでは、次のようになります。

ipvar HOME_NET 192.168.0.0/16

次に、EXTERNAL_NET変数を次のように設定する必要があります。

any

それはEXERNAL_NETあなたHOME_NETがそうでないものに変わるだけです。

ルールを設定する

システムの大部分が設定されたので、この小さな貯金箱のルールを構成する必要があります。あなたの中のライン104の周りのどこか/etc/snort/snort.confのファイル、あなたは「VAR」宣言と変数を参照する必要がありRULE_PATH、SO_RULE_PATH、PREPROC_RULE_PATH、WHITE_LIST_PATH、とBLACK_LIST_PATH。それらの値は、で使用したパスに設定する必要がありますUn-rooting Snort。

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

それらの値が設定されたら、約548行目から始まる現在のルールを削除またはコメント化します。

次に、設定が正しいことを確認します。で確認できsnortます。

 # snort -T -c /etc/snort/snort.conf

次のような出力が表示されます（簡潔にするために省略されています）。

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

すべてがエラーなしで構成されたので、Snortのテストを開始する準備ができました。

Snortのテスト

Snortをテストする最も簡単な方法は、を有効にすることlocal.rulesです。これは、カスタムルールを含むファイルです。

snort.confファイルの546行目付近に気付いた場合、次の行が存在します。

include $RULE_PATH/local.rules

持っていない場合は、546前後に追加してくださいlocal.rules。このファイルをテストに使用できます。基本的なテストとして、pingリクエスト（ICMPリクエスト）をSnortに追跡させています。これを行うには、次の行をlocal.rulesファイルに追加します。

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

それをファイルに入れたら、それを保存し、読み続けます。

テストを実行する

次のコマンドは、Snortを開始し、ユーザーがsnortとして、グループsnortの下でconfigを使用して「高速モード」アラートを出力/etc/snort/snort.confし、ネットワークインターフェースでリッスンしますeno1。eno1システムがリッスンしているネットワークインターフェイスに変更する必要があります。

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

実行したら、そのコンピュータにpingを実行します。次のような出力が表示されます。

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Ctrl + Cを押してプログラムを終了できます。Snortがすべてセットアップされました。これで、必要なルールを使用できます。

最後に、「コミュニティ」タブの公式サイトからダウンロードできるコミュニティによって作成されたいくつかのパブリックルールがあることに注意したいと思います。「Snort」を探し、そのすぐ下にコミュニティリンクがあります。それをダウンロードして抽出し、community.rulesファイルを探します。