●passを使用したルールを作成 |
では次に、ルールヘッダを変更してアラート以外を使用したルールを作成してみよう。
・外部ネットワークからのWebサーバへのアクセスは記録しないためのルール
外部ネットワークから、Webサーバへのアクセスを全て記録しないためのルールを作成するには、ルールヘッダはalertではなく、passとする。以下は前述したルールと同じだ。
pass tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS |
上記のようなルールを作成して、実際にテストしてみよう。passを利用する場合には、いままでと違い、Snortの起動時に必ず「-o」オプションを指定する。-oオプションはalertの前にpassをチェックするためのオプションで、これを指定することで、「Pass|Alert|Log」の順番となる(通常はAlert|Pass|Log)。
# cd /etc/snort # vi test.rules ←snort.confで新規に作成したルールセットを読み込む設定をしておく pass tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS |
そのあとSnortを起動する。
#/usr/local/bin/snort -Ddo -A fast -c /etc/snort/snort.conf -u snort -g snort ↑-oオプションをつけて起動 |
これで、さきほどの/phfを含むアクセスを行ってみよう。Webアクセスに対してのアラートは記録されないはずだ。このように、記録したくないものはpassを利用してルールを作成するわけだ。
●logを使用したルールを作成 |
・アラートは出力せずログとして記録するルール
次にlogを利用してみよう。これはさきほどに例としてあげたルールで、ルールヘッダをalertからlogに変更しただけのものだ。変更することによりalertは出力されず、ログディレクトリにのみ記録される。
log tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"warez access";flags:A+; uricontent:"/warez";) |
3/5 |