「Snortの設定 FreeBSD」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「FreeBSDSnort の設定をします。 __TOC__ == 概要 == FreeBSDSnort の設定をします。 主に以下のファイルが対象にな...」)
(相違点なし)

2013年10月12日 (土) 23:20時点における版

FreeBSDSnort の設定をします。

概要

FreeBSDSnort の設定をします。

主に以下のファイルが対象になります。

  • /usr/local/etc/snort/snort.conf
  • /etc/rc.conf

事前に oinkmasterSnort のルールをダウンロードしておくのが良いでしょう。

snort.conf のデフォルトの設定では、 Snort のシグネチャ(ルール)は、/usr/local/etc/snort/rules/ に格納します。

インストール

設定

設定ファイルは /usr/local/etc/snort に置きます。

snort.conf の設定

snort.conf を編集します。

sudo vim /usr/local/etc/snort/snort.conf

使用するネットワークアドレスを HOME_NET に設定します。

# Setup the network addresses you are protecting
ipvar HOME_NET [YOU_NEED_TO_SET_HOME_NET_IN_snort.conf]

ネットワークが 192.168.0.0/16 の場合、以下の設定をします。

ipvar HOME_NET 192.168.0.0/16
oinkmaster をインストールして、シグネチャをダウンロードしていないか、手動でダウンロードしていない場合には、
Step #7: Customize your rule set
のセクションのinclude をすべてコメントアウトします。コメントアウトしておかないとエラーになり、Snort が起動しません。

rc.conf の設定

rc.conf で 監視対象のインターフェースを指定します。設定していないと自動的に選択され、自動的に選択されたインターフェースがNICでない場合、Snort が動作しないでしょう。sysrcコマンドで設定を変更します。sysrcがない場合は、直接 rc.conf を編集してください。

sudo sysrc snort_interface=em0

ルールファイルの作成

snort.conf でコメントアウトしていない限り、local.rules と ホワイトリストブラックリスト のルールのファイルがないと Snort が起動しません。コメントアウトするか、以下のコマンドでファイルとディレクトリを作成します。

sudo touch /usr/local/etc/snort/./rules/local.rules
sudo mkdir /usr/local/etc/rules/
sudo touch /usr/local/etc/rules/{white_list,black_list}.rules

関連項目