「Snortの設定 FreeBSD」の版間の差分

2015年9月22日 (火) 18:23時点における最新版

FreeBSD で Snort の設定をします。

FreeBSD で Snort の設定をします。

主に以下のファイルが対象になります。

事前に oinkmaster で Snort のルールをダウンロードしておくのが良いでしょう。

snort.conf のデフォルトの設定では、 Snort のシグネチャ(ルール)は、/usr/local/etc/snort/rules/ に格納します。

設定ファイルは /usr/local/etc/snort に置きます。

snort.conf を編集します。

sudo vim /usr/local/etc/snort/snort.conf

使用するネットワークアドレスを HOME_NET に設定します。

# Setup the network addresses you are protecting
ipvar HOME_NET [YOU_NEED_TO_SET_HOME_NET_IN_snort.conf]

ネットワークが 192.168.0.0/16 の場合、以下の設定をします。

ipvar HOME_NET 192.168.0.0/16

oinkmaster をインストールして、シグネチャをダウンロードしていないか、手動でダウンロードしていない場合には、

Step #7: Customize your rule set

のセクションのinclude をすべてコメントアウトします。コメントアウトしておかないとエラーになり、Snort が起動しません。

rc.conf で監視対象のインターフェースを指定します。設定していないと自動的に選択され、自動的に選択されたインターフェースがNICでない場合、Snort が動作しないでしょう。sysrcコマンドで設定を変更します。sysrcがない場合は、直接 rc.conf を編集してください。

sudo sysrc snort_interface=em0

snort.conf でコメントアウトしていない限り、local.rules とホワイトリストとブラックリストのルールのファイルがないと Snort が起動しません。コメントアウトするか、以下のコマンドでファイルとディレクトリを作成します。

sudo touch /usr/local/etc/snort/./rules/local.rules
sudo mkdir /usr/local/etc/rules/
sudo touch /usr/local/etc/rules/{white_list,black_list}.rules

@@ 行36: / 行36: @@
 [[oinkmaster]] をインストールして、シグネチャをダウンロードしていないか、手動でダウンロードしていない場合には、<blockquote>Step #7: Customize your rule set</blockquote> のセクションのinclude をすべてコメントアウトします。コメントアウトしておかないとエラーになり、[[Snort]] が起動しません。
 === rc.conf の設定 ===
-rc.conf で 監視対象のインターフェースを指定します。設定していないと自動的に選択され、自動的に選択されたインターフェースがNICでない場合、[[Snort]] が動作しないでしょう。sysrcコマンドで設定を変更します。[[sysrc]]がない場合は、直接 [[rc.conf]] を編集してください。
+rc.conf で 監視対象のインターフェースを指定します。設定していないと自動的に選択され、自動的に選択されたインターフェースがNICでない場合、[[Snort]] が動作しないでしょう。sysrcコマンドで設定を変更します。sysrcがない場合は、直接 rc.conf を編集してください。
 <syntaxhighlight lang="bash">
 sudo sysrc snort_interface=em0