「Snortの設定 FreeBSD」の版間の差分
提供: セキュリティ
| 行13: | 行13: | ||
snort.conf のデフォルトの設定では、 [[Snort]] のシグネチャ(ルール)は、/usr/local/etc/snort/rules/ に格納します。 | snort.conf のデフォルトの設定では、 [[Snort]] のシグネチャ(ルール)は、/usr/local/etc/snort/rules/ に格納します。 | ||
| − | |||
== インストール == | == インストール == | ||
* [[SnortをFreeBSDにインストールする]] | * [[SnortをFreeBSDにインストールする]] | ||
| − | |||
== 設定 == | == 設定 == | ||
設定ファイルは /usr/local/etc/snort に置きます。 | 設定ファイルは /usr/local/etc/snort に置きます。 | ||
| − | |||
=== snort.conf の設定 === | === snort.conf の設定 === | ||
snort.conf を編集します。 | snort.conf を編集します。 | ||
| 行38: | 行35: | ||
[[oinkmaster]] をインストールして、シグネチャをダウンロードしていないか、手動でダウンロードしていない場合には、<blockquote>Step #7: Customize your rule set</blockquote> のセクションのinclude をすべてコメントアウトします。コメントアウトしておかないとエラーになり、[[Snort]] が起動しません。 | [[oinkmaster]] をインストールして、シグネチャをダウンロードしていないか、手動でダウンロードしていない場合には、<blockquote>Step #7: Customize your rule set</blockquote> のセクションのinclude をすべてコメントアウトします。コメントアウトしておかないとエラーになり、[[Snort]] が起動しません。 | ||
| − | |||
=== rc.conf の設定 === | === rc.conf の設定 === | ||
| − | + | rc.conf で 監視対象のインターフェースを指定します。設定していないと自動的に選択され、自動的に選択されたインターフェースがNICでない場合、[[Snort]] が動作しないでしょう。sysrcコマンドで設定を変更します。[[sysrc]]がない場合は、直接 [[rc.conf]] を編集してください。 | |
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
sudo sysrc snort_interface=em0 | sudo sysrc snort_interface=em0 | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| − | |||
== ルールファイルの作成 == | == ルールファイルの作成 == | ||
snort.conf でコメントアウトしていない限り、local.rules と [[ホワイトリスト]]と[[ブラックリスト]] のルールのファイルがないと [[Snort]] が起動しません。コメントアウトするか、以下のコマンドでファイルとディレクトリを作成します。 | snort.conf でコメントアウトしていない限り、local.rules と [[ホワイトリスト]]と[[ブラックリスト]] のルールのファイルがないと [[Snort]] が起動しません。コメントアウトするか、以下のコマンドでファイルとディレクトリを作成します。 | ||
2015年9月22日 (火) 18:04時点における版
概要
主に以下のファイルが対象になります。
- /usr/local/etc/snort/snort.conf
- /etc/rc.conf
事前に oinkmaster で Snort のルールをダウンロードしておくのが良いでしょう。
snort.conf のデフォルトの設定では、 Snort のシグネチャ(ルール)は、/usr/local/etc/snort/rules/ に格納します。
インストール
設定
設定ファイルは /usr/local/etc/snort に置きます。
snort.conf の設定
snort.conf を編集します。
sudo vim /usr/local/etc/snort/snort.conf
使用するネットワークアドレスを HOME_NET に設定します。
# Setup the network addresses you are protecting ipvar HOME_NET [YOU_NEED_TO_SET_HOME_NET_IN_snort.conf]
ネットワークが 192.168.0.0/16 の場合、以下の設定をします。
oinkmaster をインストールして、シグネチャをダウンロードしていないか、手動でダウンロードしていない場合には、ipvar HOME_NET 192.168.0.0/16
Step #7: Customize your rule setのセクションのinclude をすべてコメントアウトします。コメントアウトしておかないとエラーになり、Snort が起動しません。
rc.conf の設定
rc.conf で 監視対象のインターフェースを指定します。設定していないと自動的に選択され、自動的に選択されたインターフェースがNICでない場合、Snort が動作しないでしょう。sysrcコマンドで設定を変更します。sysrcがない場合は、直接 rc.conf を編集してください。
sudo sysrc snort_interface=em0
ルールファイルの作成
snort.conf でコメントアウトしていない限り、local.rules と ホワイトリストとブラックリスト のルールのファイルがないと Snort が起動しません。コメントアウトするか、以下のコマンドでファイルとディレクトリを作成します。
sudo touch /usr/local/etc/snort/./rules/local.rules sudo mkdir /usr/local/etc/rules/ sudo touch /usr/local/etc/rules/{white_list,black_list}.rules
関連項目
- Snort
- oinkmaster
- 侵入検知システム(IDS)
- 侵入防止システム(IPS)
- インストール
- 設定
- Snortの設定 FreeBSD
- Snortの設定関係のエラー
- 使い方