Snortの設定 FreeBSD
提供: セキュリティ
2013年10月12日 (土) 23:20時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「FreeBSD で Snort の設定をします。 __TOC__ == 概要 == FreeBSD で Snort の設定をします。 主に以下のファイルが対象にな...」)
スポンサーリンク
概要
主に以下のファイルが対象になります。
- /usr/local/etc/snort/snort.conf
- /etc/rc.conf
事前に oinkmaster で Snort のルールをダウンロードしておくのが良いでしょう。
snort.conf のデフォルトの設定では、 Snort のシグネチャ(ルール)は、/usr/local/etc/snort/rules/ に格納します。
インストール
設定
設定ファイルは /usr/local/etc/snort に置きます。
snort.conf の設定
snort.conf を編集します。
sudo vim /usr/local/etc/snort/snort.conf
使用するネットワークアドレスを HOME_NET に設定します。
# Setup the network addresses you are protecting ipvar HOME_NET [YOU_NEED_TO_SET_HOME_NET_IN_snort.conf]
ネットワークが 192.168.0.0/16 の場合、以下の設定をします。
oinkmaster をインストールして、シグネチャをダウンロードしていないか、手動でダウンロードしていない場合には、ipvar HOME_NET 192.168.0.0/16
Step #7: Customize your rule setのセクションのinclude をすべてコメントアウトします。コメントアウトしておかないとエラーになり、Snort が起動しません。
rc.conf の設定
rc.conf で 監視対象のインターフェースを指定します。設定していないと自動的に選択され、自動的に選択されたインターフェースがNICでない場合、Snort が動作しないでしょう。sysrcコマンドで設定を変更します。sysrcがない場合は、直接 rc.conf を編集してください。
sudo sysrc snort_interface=em0
ルールファイルの作成
snort.conf でコメントアウトしていない限り、local.rules と ホワイトリストとブラックリスト のルールのファイルがないと Snort が起動しません。コメントアウトするか、以下のコマンドでファイルとディレクトリを作成します。
sudo touch /usr/local/etc/snort/./rules/local.rules sudo mkdir /usr/local/etc/rules/ sudo touch /usr/local/etc/rules/{white_list,black_list}.rules
関連項目
- Snort
- oinkmaster
- 侵入検知システム(IDS)
- 侵入防止システム(IPS)
- インストール
- 設定
- Snortの設定 FreeBSD
- Snortの設定関係のエラー
- 使い方
ツイート
スポンサーリンク