![]() |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
![]() 侵入者検知システムの導入-snort- ■03/06/17 シマンテックのインターネットセキュリティーにも侵入者検知システムが付加されました。Linuxの世界にも同じようなシステムがあり、これは、アヤシイ輩が親友してきたら知らせてくれる。というのではなく、アヤシイ輩が進入しアヤシイ行動を起こしたら検知、もしくは進入するような動作を仕掛けてきたら検知。という感じだと思います。つまり、あるパターンのアタックが来たら、もしくは、Linuxを使っているユーザーがある行動をしたら検知。ということに言い換えられると思います。これらを検知するシステムのことをIDS(Intrusion Detection System「不正侵入検知システム」)といいます。 このIDSの代表的なものが、「Snort」で、今回はこれを有効的に活用させてみようと思います。 まず、「Snort」をインストールする前にパケットをキャプチャするための「libpcap」をインストールしておく必要があります。 Webminの「システム」>「ソフトウェアパッケージ」>「インストール済みのパッケージ」に「libpcap」を入力してボタンを押してください。コンソール上で調べるには、 # rpm -q libpcap どうやらVineではデフォルトでインストールされているようですね。 同じようにインストールされていました!「Snort」も「libpcap」も「ATP」でインストールできるようです。(最新バージョンではないようですけど・・・) 次にルールセットなどのコピーと設定ファイルの編集、ログディレクトリの作成などを行っときます。 まず、「/etc/snort」以下に、設定ファイル(classification.config、
snort.conf)とルールセット(拡張子*.rulesファイル)があると思います。(自分でインストールした場合は、snortを展開したディレクトリにこれらのファイルがあるので、「/etc/snort」を作成し、そこへコピーしてください。)その中の、「snort.conf」の編集を行います。設定内容は各自の環境により違うため、環境にあわせて記述する必要があります。
まず、 var HOME_NET any これは「any」のままだとログがすごく多くなるので、例えば192.168.1.0ネットワークを監視したい場合は(/24は255.255.255.0のマスクです) var HOME_NET 192.168.1.0/24 192.168.1.4だけを監視する場合は var HOME_NET 192.168.1.4/32 なお、複数例えば「192.168.1.4」と「192.168.1.10」を監視する場合は、 var HOME_NET [192.168.1.4,192.168.1.10] というように「[」と「]」で囲み、「,」で区切ります。 「EXTERNAL_NET(外部ネットワーク)」 var EXTERNAL_NET any ここは「 any」のままでかまいませんが、「HOME_NET」を除外した「!$HOME_NET」にします。 var EXTERNAL_NET !$HOME_NET 「 SMTP」〜「DNS_SERVERS」 これらは必要に応じて設定します。例えば、 var SMTP 192.168.1.4/32 もしくは、 var SMTP $HOME_NET 尚、 コメントを表す「#」も使えるので、 「RULE_PATH」 各種ルールファイルがある場所へのパスらしいです。相対パスで記述するらしいですので、 var RULE_PATH ./ でいいようです。 ココまで出来たら、ログの設定に移ります。Vineではすでに「/var/log/snort」というディレクトリがあるので、デフォルトでそちらに保存されます。一応属性を書き込み可能か調べておいてください。 以上で「snort」の設定は終わりました。次に起動ですが起動には、以下のようなオプションがあります。
今回の起動のさせ方ですけど、ログを見るためのアプリ「RazorBack」というのがあり、「X-Window」を利用しているなら使えるそうなので、インストールしてみました。 まず、Webminの「システム」>「ソフトウェアパッケージ」>「新規のパッケージをインストール」の中の「FTP
またはhttp URL から」をチェックし、テキスト欄に 無事インストールされたら(出来ない場合は、アドレスをチェックしてください)、「インストール済みのパッケージ」のテキスト欄に「razorback」と入力して「パッケージの検索」ボタンをクリックします。 表示されたページの「ファイルのリスト」をクリックし、 では、ココまで来たら、「snort」を起動させます。 「razorback」を使用するので、以下のオプションで起動させます。 # /usr/sbin/snort -D -A fast -c /etc/snort/snort.conf -u snort -g snort ログがある程度記録されたら、ターミナルを立ち上げて、 #razorback と、打ち込むとGUIのログ表示が立ち上がります。 |
|