|
|
(同じ利用者による、間の4版が非表示) |
行8: |
行8: |
| [[Snort]] は、ネットワーク型のIDS (NIDS) です。 | | [[Snort]] は、ネットワーク型のIDS (NIDS) です。 |
| [[Snort]] は、GPL ライセンスです。 | | [[Snort]] は、GPL ライセンスです。 |
− |
| |
| == サポートするOS == | | == サポートするOS == |
| * [[Linux]] | | * [[Linux]] |
| * [[Windows]] | | * [[Windows]] |
− | * *BSD ([[FreeBSD]], [[NetBSD]], [[OpenBSD]]) | + | * *BSD ([[FreeBSD]], NetBSD, OpenBSD) |
− | * [[Unix]] ( [[Solaris]], [[SunOS]] , etc ) | + | * [[Unix]] ( Solaris, SunOS , etc ) |
− | | + | |
| == インストール == | | == インストール == |
| * [[SnortをFreeBSDにインストールする]] | | * [[SnortをFreeBSDにインストールする]] |
− |
| |
| == 設定 == | | == 設定 == |
− | | + | * [[Snortの設定 FreeBSD]] |
− | <syntaxhighlight lang="bash">
| + | * [[Snortの設定関係のエラー]] |
− | sudo vim /usr/local/etc/snort/snort.conf
| + | |
− | </syntaxhighlight>
| + | |
− | | + | |
− | <syntaxhighlight lang="bash">
| + | |
− | # Setup the network addresses you are protecting
| + | |
− | ipvar HOME_NET [YOU_NEED_TO_SET_HOME_NET_IN_snort.conf]
| + | |
− | </syntaxhighlight>
| + | |
− | | + | |
− | <syntaxhighlight lang="bash">
| + | |
− | ipvar HOME_NET 192.168.0.0/16
| + | |
− | </syntaxhighlight>
| + | |
− | | + | |
− | include をすべてコメントアウトします。
| + | |
− | | + | |
− | <syntaxhighlight lang="bash">
| + | |
− | sudo touch /usr/local/etc/snort/./rules/local.rules
| + | |
− | sudo mkdir /usr/local/etc/rules/
| + | |
− | sudo touch /usr/local/etc/rules/{white_list,black_list}.rules
| + | |
− | </syntaxhighlight>
| + | |
− | | + | |
− | <syntaxhighlight lang="bash">
| + | |
− | sudo sysrc snort_interface=em0
| + | |
− | </syntaxhighlight>
| + | |
− | | + | |
| == 使い方 == | | == 使い方 == |
− | | + | * [[Snortのシグネチャの作成方法]] |
− | === Snort が起動しない場合 ===
| + | |
− | 自分の使用しているネットワークの[[IPアドレス]]を設定する必要があります。
| + | |
− | <syntaxhighlight lang="bash">
| + | |
− | % sudo /usr/local/etc/rc.d/snort onestart
| + | |
− | Starting snort.
| + | |
− | /usr/local/etc/rc.d/snort: WARNING: failed to start snort
| + | |
− | % sudo /usr/local/bin/snort -c /usr/local/etc/snort/snort.conf
| + | |
− | Running in IDS mode
| + | |
− | | + | |
− | --== Initializing Snort ==--
| + | |
− | Initializing Output Plugins!
| + | |
− | Initializing Preprocessors!
| + | |
− | Initializing Plug-ins!
| + | |
− | Parsing Rules file "/usr/local/etc/snort/snort.conf"
| + | |
− | ERROR: /usr/local/etc/snort/snort.conf(45) Failed to parse the IP address: [YOU_NEED_TO_SET_HOME_NET_IN_snort.conf].
| + | |
− | Fatal Error, Quitting..
| + | |
− | </syntaxhighlight>
| + | |
− | | + | |
− | | + | |
− | === ルールがないと動かない ===
| + | |
− | | + | |
− | ERROR: /usr/local/etc/snort/./rules/local.rules(0) Unable to open rules file
| + | |
− | <syntaxhighlight lang="bash">
| + | |
− | sudo touch "/usr/local/etc/snort/./rules/local.rules"
| + | |
− | </syntaxhighlight>
| + | |
− | | + | |
− | <syntaxhighlight lang="bash">
| + | |
− | % sudo local/etc/rbin/snort -c /usr/local/etc/snort/snort.conf
| + | |
− | Running in IDS mode
| + | |
− | | + | |
− | --== Initializing Snort ==--
| + | |
− | Initializing Output Plugins!
| + | |
− | Initializing Preprocessors!
| + | |
− | Initializing Plug-ins!
| + | |
− | Parsing Rules file "/usr/local/etc/snort/snort.conf"
| + | |
− | PortVar 'HTTP_PORTS' defined : [ 80:90 311 383 591 593 631 901 1220 1414 1741
| + | |
− | 1830 2301 2381 2809 3037 3057 3128 3443 3702 4343 4848 5250 6080 6988 7000:7001
| + | |
− | 7144:7145 7510 7777 7779 8000 8008 8014 8028 8080 8085 8088 8090 8118 8123
| + | |
− | 8180:8181 8222 8243 8280 8300 8500 8800 8888 8899 9000 9060 9080 9090:9091 9443
| + | |
− | 9999:10000 11371 34443:34444 41080 50000 50002 55555 ]
| + | |
− | PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ]
| + | |
− | PortVar 'ORACLE_PORTS' defined : [ 1024:65535 ]
| + | |
− | PortVar 'SSH_PORTS' defined : [ 22 ]
| + | |
− | PortVar 'FTP_PORTS' defined : [ 21 2100 3535 ]
| + | |
− | PortVar 'SIP_PORTS' defined : [ 5060:5061 5600 ]
| + | |
− | PortVar 'FILE_DATA_PORTS' defined : [ 80:90 110 143 311 383 591 593 631 901
| + | |
− | 1220 1414 1741 1830 2301 2381 2809 3037 3057 3128 3443 3702 4343 4848 5250 6080
| + | |
− | 6988 7000:7001 7144:7145 7510 7777 7779 8000 8008 8014 8028 8080 8085 8088 8090
| + | |
− | 8118 8123 8180:8181 8222 8243 8280 8300 8500 8800 8888 8899 9000 9060 9080
| + | |
− | 9090:9091 9443 9999:10000 11371 34443:34444 41080 50000 50002 55555 ]
| + | |
− | PortVar 'GTP_PORTS' defined : [ 2123 2152 3386 ]
| + | |
− | Detection:
| + | |
− | Search-Method = AC-Full-Q
| + | |
− | Split Any/Any group = enabled
| + | |
− | Search-Method-Optimizations = enabled
| + | |
− | Maximum pattern length = 20
| + | |
− | ERROR: /usr/local/etc/snort/./rules/local.rules(0) Unable to open rules file
| + | |
− | "/usr/local/etc/snort/./rules/local.rules": No such file or directory.
| + | |
− | | + | |
− | Fatal Error, Quitting..
| + | |
− | </syntaxhighlight>
| + | |
− | | + | |
− | === usbus0 でエラーになる ===
| + | |
− | | + | |
− | インターフェースを指定してない場合、自動的にインターフェースが選択されて、動作しませんでした。
| + | |
− | [[FreeBSD]] の場合は、 rc.conf にsnort_interfaceでインターフェースを指定できます。
| + | |
− | <syntaxhighlight lang="bash">
| + | |
− | [ Port Based Pattern Matching Memory ]
| + | |
− | [ Number of patterns truncated to 20 bytes: 0 ]
| + | |
− | pcap DAQ configured to passive.
| + | |
− | Acquiring network traffic from "usbus0".
| + | |
− | Reload thread starting...
| + | |
− | Reload thread started, thread 0x28805500 (49289)
| + | |
− | ERROR: Cannot decode data link type 186
| + | |
− | Fatal Error, Quitting..
| + | |
− | </syntaxhighlight>
| + | |
− | | + | |
− | snort コマンド には、-i でインターフェースが指定できます。
| + | |
− | <syntaxhighlight lang="bash">
| + | |
− | sudo /usr/local/bin/snort -c /usr/local/etc/snort/snort.conf -i em0
| + | |
− | </syntaxhighlight>
| + | |
− | | + | |
| == 関連項目 == | | == 関連項目 == |
| {{snort}} | | {{snort}} |
− | <!-- | + | <!-- vim: filetype=mediawiki |
− | vim: filetype=mediawiki | + | |
| --> | | --> |