■IDSの導入による不正侵入の検知とネットワーク管理
Snortのルールセットを極める
第2回の後半で、Snortのルールセット(およびルール)で必要なもののみを使用するための編集方法について解説した。ウイルスの定義ファイルと同様に、新しい攻撃に関するSnortのルールセットが増えていれば、更新を行う必要がある。また、環境に合わせて手動でルールセットを加えていくことも必要だろう。そこで今回は、ルールセットの自動アップデートスクリプト「Oinkmaster」の導入について解説する

●ルールセットの自動アップデート「Oinkmaster」の導入

 「Oinkmaster」は、Snortのサイトより最新のルールファイルがあれば自動的にアップデートを行ってくれるスクリプトだ。読み込ませたくないルールに関しては、設定ファイルにルールのsid(各ルールに割り当てられたID。詳しくは後述)を指定することで、アップデート時に自動的にコメントアウトを行ってくれる。

・Oinkmasterのインストール

 Oinkmasterアーカイブを展開したディレクトリより、「oinkmaster.pl」と「oinkmaster.conf」を適当なディレクトリに移動させればインストールは完了だ。ここでは「/usr/local/oinkmaster」に移動させている。

$ wget ftp://ftp.it.su.se/pub/users/andreas/oinkmaster/oinkmaster-0.5.tar.gz
$ tar xvzf oinkmaster-0.5.tar.gz
$ cd oinkmaster-0.5
$ su 
password:
# mkdir /usr/local/oinkmaster
# mv oinkmaster.pl oinkmaster.conf /usr/local/oinkmaster

フォントサイズを 大きくする / 小さくする(※Internet Explorer4.0以上)

 また、現在利用しているルールファイルは、Oinkmasterを利用したアップデート後にバックアップとして残しておくことができるため、専用のバックアップ用ディレクトリも作成しておこう。

# mkdir /etc/snort/backup
# chown -R snort.snort /etc/snort/backup
# chmod 770 /etc/snort/backup

・oinkmasterユーザーの作成

 これまでの設定では、Snortのルールセットが置かれるディレクトリは「/etc/snort」としており、また、所有者および所有グループはどちらもsnortになっている。そこでまず、新規にユーザー「oinkmaster」をグループ「snort」に属するようにして作成する。

# useradd -g snort -d /usr/local/oinkmaster oinkmaster
# chown -R oinkmaster.snort /usr/local/oinkmaster

・パーミッションの設定

 「/etc/snort」を、ユーザーoinkmasterが読み込み、書き込みができるように、ディレクトリのパーミッションに変更する。

# chmod -R 770 /etc/snort

 以上でoinkmasterのインストールが完了する。では、実際にルールセットのアップデートテストを行ってみよう。

1/3 NEXT


Special

- PR -

Special

- PR -