ｓｎｏｒｔのインストール１

ｓｎｏｒｔのインストール　ｐａｒｔ１

　Ｔｕｒｂｏｌｉｎｕｘ　Ｓｅｒｖｅｒ６．５に　以下のページを参考にさせていただきｓｎｏｒｔをインストールしてみたので手順を以下に記す。

　http://wasemani.nisimaki.jp/index.php3?page=27

　まず、必要ファイルであるが、以下のものであり、rpm 以外は右に示すサイトからダウンロードした。

SnortSnarf-020316.1.tar.gz SILICON DEFENSE SnortSnarf
flex-2.5.4a-11.i386.rpm
snort-1.9.0.tar.gz　Snort - The Open Source Network IDS
byacc-1.9-13.i386.rpm

○snortのインストール
http://www.snort.org/downloads.html

% tar zxvf snort-1.8.6.tar.gz
% cd snort-1.8.6
% ./configure
% make
# make install

　　▼設定ファイルのコピー
　　　# mkdir /etc/snort
　　　# cp *.rules snort.conf classification.config /etc/snort/

　　▼設定ファイルの編集
　　　# vi /etc/snort/snort.conf
　　　　　var HOME_NET 210.142.249.xxx

　　▼ログファイルディレクトリの作成
　　　# mkdir /var/log/snort

　　▼実行
　　　# /usr/local/bin/snort -i eth1 -Dod -A full -c /etc/snort/snort.conf -l /var/log/snort

　　　　-i eth1 を指定しない場合は、eth0 を見に行くようである。私のサーバーは外向きのポートが eth1 なものであえて指定した。

○snort結果を見やすくする
　http://www.silicondefense.com/software/snortsnarf/index.htm
　http://labo.d77.jp/cgi-bin/view2.cgi?page=14#2

　ｓｎｏｒｔのログをｗｅｂ上で見やすく表示する方法には種々のものがあるようであるが、ここではもっとも単純な snortssnarf を試してみることとする。

　　▼インストール
　　　　% tar zxvf SnortSnarf-020316.1.tar.gz
　　　　% cd SnortSnarf-020316.1
　　　　% cd Time-modules
　　　　% perl Makefile.PL
　　　　% make
　　　　% make test
　　　　% su
　　　　# make install

　　▼実行
　　　　# /usr/local/SnortSnarf-020316.1/snortsnarf.pl -d /home/httpd/html/snort/ /var/log/snort/alert

　　▼cronでの実行
　　　　vi snortsnarf_cron.sh　で
　　　　#!/bin/sh 　　　　cd /usr/local/SnortSnarf-020316.1
　　　　/usr/local/SnortSnarf-0203156.1/snortsnarf.pl -d /home/httpd/html/snort/ /var/log/snort/alert

　　　　というシェルスクリプトを作成してこれをcronで起動する。

　　　　crontab -e で

　　　　30 * * * * /usr/local/SnortSnarf-020316.1/snortsnarf_cron.sh

　WEBサーバのドキュメントルート以下http://（ｓｎｏｒｔをインストールしたＰＣのアドレス）/snort/

でリアルタイムでsnortの結果をブラウジングできるようになる。

○ルールの調整
　ping や traceroute など検出する必要のないイベントをマスクする方法は、

[root@thinkpad snort]# grep traceroute *
icmp-info.rules:alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP tracero ute ";ttl:1;itype:8; reference:arachnids,118; classtype:attempted-recon; sid:385 ; rev:2;)
icmp.rules:alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP traceroute i popts"; ipopts: rr; itype: 0; reference:arachnids,238; classtype:attempted-recon ; sid:475; rev:1;)
web-attacks.rules:alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-ATTA CKS traceroute command attempt"; flags:A+; content:"traceroute%20";nocase; sid:1 358; rev:1; classtype:web-application-attack;)

で記述しているファイルを検索してその行をコメント化または削除するようである。

前ページ

ｓｎｏｒｔのインストール ｐａｒｔ１

ｓｎｏｒｔのインストール　ｐａｒｔ１