#-------------------------------------------------- # http://www.snort.org Snort 1.8.1 Ruleset # Contact: snort-sigs@lists.sourceforge.net #-------------------------------------------------- # NOTE:This ruleset only works for 1.8.0 and later #-------------------------------------------------- 〜省略〜 # # MAKE SURE YOU DON'T PLACE ANY SPACES IN YOUR LIST! # # or you can specify the variable to be any IP address # like this: var HOME_NET any ←ここを各自の環境に合わせて変更する。 |
「any」はすべてのネットワークという意味になるが、すべてのネットワークを監視する設定を行うと、莫大なログが作成されてしまう。ここでは監視対象となるユーザーのネットワークを記述しておこう。たとえば、ネットワーク環境が「192.168.1.0/255.255.255.0」であれば例1のように記述する。またサーバ「192.168.1.7」のみを監視対象としたい場合には例2のように記述し、監視対象が複数台(192.168.1.3と192.168.1.7など)であれば、例3のようにカンマ区切りで記述した内容を[ ]でくくればよい。
例1:192.168.1.0ネットワークを監視したい場合 |
var HOME_NET any ↓ var HOME_NET 192.168.1.0/24 ※複数のネットワークの場合は[192.168.0.0/24,192.168.1.0/24]のように[ ]でくくって記述する |
例2:192.168.1.7がサーバである場合 |
var HOME_NET any ↓ var HOME_NET 192.168.1.7/32 |
例3:192.168.1.3と192.168.1.7を監視対象とする場合 |
var HOME_NET any ↓ var HOME_NET [192.168.1.7/32,192.168.1.7/32] |
○var EXTERNAL_NETの設定
先ほどのsnort.confの途中にある
# Set up the external network addresses as well. # A good start may be "any" var EXTERNAL_NET any ←外部のネットワーク |
で、外部ネットワークの設定を行う。「EXTERNAL_NET」は外部ネットワークを指す、初期設定では「any」になっているためそのまま利用すしてもかまわないが、HOME_NETで設定したネットワーク以外を外部ネットワークに設定したい場合は、「!$HOME_NET」として例4のように記述する。
例4:EXTERNAL_NETをHOME_NET以外とする場合 |
var EXTERNAL_NET any ↓ var EXTERNAL_NET !$HOME_NET |
あとはWebサーバやメールサーバの設定だ。初期設定ではHOME_NETで設定したネットワークが対象となる。環境に合わせて例2や例3を参考に、サーバのアドレスを記述していこう。たとえば、SMTPサーバが192.168.1.7であれば、「var SMTP 192.168.1.7/32」と記述する。
# Set up your SMTP servers, or simply configure them # to HOME_NET var SMTP $HOME_NET ↑各自の環境に合わせて変更する。以下同様にvar HTTP_SERVERS(ウェブサーバ)、var SQL_SERVERS(SQLサーバ)、var DNS_SERVERS(DNSサーバ)を変更する 〜省略〜 var RULE_PATH ./ ↑先ほどコピーを行ったルールセットのパスの指定。ここでは/etc/snortにコピーしたため「./」のままでよいが、ほかの場所へコピーしたときは変更する |
○ログディレクトリの作成
Snortのログを保存するディレクトリを作成する。初期設定のまま使用するのであれば、ログは「/var/log/snort」以下に保存されるため、/var/log/snortディレクトリを作成し、パーミッションを変更する。
# mkdir /var/log/snort # chmod 700 /var/log/snort |
○Snort専用ユーザの作成
Snortの専用ユーザ「snort」を作成し、ディレクトリの所有者を変更する。
# groupadd snort # useradd -g snort -d /dev/null -c "Snort User" -s /bin/false snort # chown -R snort.snort /etc/snort /var/log/snort |
3/4 |