「Snortの設定 FreeBSD」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「FreeBSDSnort の設定をします。 __TOC__ == 概要 == FreeBSDSnort の設定をします。 主に以下のファイルが対象にな...」)
 
 
(同じ利用者による、間の1版が非表示)
行13: 行13:
  
 
snort.conf のデフォルトの設定では、 [[Snort]] のシグネチャ(ルール)は、/usr/local/etc/snort/rules/ に格納します。
 
snort.conf のデフォルトの設定では、 [[Snort]] のシグネチャ(ルール)は、/usr/local/etc/snort/rules/ に格納します。
 
 
== インストール ==
 
== インストール ==
 
* [[SnortをFreeBSDにインストールする]]
 
* [[SnortをFreeBSDにインストールする]]
 
 
== 設定 ==
 
== 設定 ==
 
設定ファイルは /usr/local/etc/snort に置きます。
 
設定ファイルは /usr/local/etc/snort に置きます。
 
 
=== snort.conf の設定 ===
 
=== snort.conf の設定 ===
 
snort.conf を編集します。
 
snort.conf を編集します。
行38: 行35:
  
 
[[oinkmaster]] をインストールして、シグネチャをダウンロードしていないか、手動でダウンロードしていない場合には、<blockquote>Step #7: Customize your rule set</blockquote> のセクションのinclude をすべてコメントアウトします。コメントアウトしておかないとエラーになり、[[Snort]] が起動しません。
 
[[oinkmaster]] をインストールして、シグネチャをダウンロードしていないか、手動でダウンロードしていない場合には、<blockquote>Step #7: Customize your rule set</blockquote> のセクションのinclude をすべてコメントアウトします。コメントアウトしておかないとエラーになり、[[Snort]] が起動しません。
 
 
=== rc.conf の設定 ===
 
=== rc.conf の設定 ===
[[rc.conf]] で 監視対象のインターフェースを指定します。設定していないと自動的に選択され、自動的に選択されたインターフェースがNICでない場合、[[Snort]] が動作しないでしょう。[[sysrc]]コマンドで設定を変更します。[[sysrc]]がない場合は、直接 [[rc.conf]] を編集してください。
+
rc.conf で 監視対象のインターフェースを指定します。設定していないと自動的に選択され、自動的に選択されたインターフェースがNICでない場合、[[Snort]] が動作しないでしょう。sysrcコマンドで設定を変更します。sysrcがない場合は、直接 rc.conf を編集してください。
 
<syntaxhighlight lang="bash">
 
<syntaxhighlight lang="bash">
 
sudo sysrc snort_interface=em0
 
sudo sysrc snort_interface=em0
 
</syntaxhighlight>
 
</syntaxhighlight>
 
 
== ルールファイルの作成 ==
 
== ルールファイルの作成 ==
 
snort.conf でコメントアウトしていない限り、local.rules と [[ホワイトリスト]]と[[ブラックリスト]] のルールのファイルがないと [[Snort]] が起動しません。コメントアウトするか、以下のコマンドでファイルとディレクトリを作成します。
 
snort.conf でコメントアウトしていない限り、local.rules と [[ホワイトリスト]]と[[ブラックリスト]] のルールのファイルがないと [[Snort]] が起動しません。コメントアウトするか、以下のコマンドでファイルとディレクトリを作成します。

2015年9月22日 (火) 18:23時点における最新版

FreeBSDSnort の設定をします。

概要

FreeBSDSnort の設定をします。

主に以下のファイルが対象になります。

  • /usr/local/etc/snort/snort.conf
  • /etc/rc.conf

事前に oinkmasterSnort のルールをダウンロードしておくのが良いでしょう。

snort.conf のデフォルトの設定では、 Snort のシグネチャ(ルール)は、/usr/local/etc/snort/rules/ に格納します。

インストール

設定

設定ファイルは /usr/local/etc/snort に置きます。

snort.conf の設定

snort.conf を編集します。

sudo vim /usr/local/etc/snort/snort.conf

使用するネットワークアドレスを HOME_NET に設定します。

# Setup the network addresses you are protecting
ipvar HOME_NET [YOU_NEED_TO_SET_HOME_NET_IN_snort.conf]

ネットワークが 192.168.0.0/16 の場合、以下の設定をします。

ipvar HOME_NET 192.168.0.0/16
oinkmaster をインストールして、シグネチャをダウンロードしていないか、手動でダウンロードしていない場合には、
Step #7: Customize your rule set
のセクションのinclude をすべてコメントアウトします。コメントアウトしておかないとエラーになり、Snort が起動しません。

rc.conf の設定

rc.conf で 監視対象のインターフェースを指定します。設定していないと自動的に選択され、自動的に選択されたインターフェースがNICでない場合、Snort が動作しないでしょう。sysrcコマンドで設定を変更します。sysrcがない場合は、直接 rc.conf を編集してください。

sudo sysrc snort_interface=em0

ルールファイルの作成

snort.conf でコメントアウトしていない限り、local.rules と ホワイトリストブラックリスト のルールのファイルがないと Snort が起動しません。コメントアウトするか、以下のコマンドでファイルとディレクトリを作成します。

sudo touch /usr/local/etc/snort/./rules/local.rules
sudo mkdir /usr/local/etc/rules/
sudo touch /usr/local/etc/rules/{white_list,black_list}.rules

関連項目