監視ネットワーク・データベース・ルール ～ Snort-2.6.x 設定

Snort が監視対象とするネットワークの設定を行います。

Snort の設置場所

どこに設置するか、つまりネットワーク構成やハードウェア構成によって適切な設定は異なります。また、Snort は結構リソースを消費します。（特にメモり）　WAN / LAN 双方に監視する場合は、それぞれ snort デーモンが起動しますので更に多くのメモリを必要とします。

自分に届くパケット以外を監視する必要がない場合、NIC はプロミスキャスモードで動作する必要がありませんし、自分宛に届く不正パケットの検出といった目的によっても変わってきます。また、ファイアウォールによっても監視できるパケットは異なります。

参考URL => Q: Snortセンサーを設置するよい場所はどこですか？

Snort の設定　～ snort.conf の修正

Snort の設定は　/etc/snort/snort.conf で行います。以下、設定例です。

監視ネットワークに関する設定

Snort が監視するネットワークに関する設定は、以下で行います。

ログの出力先に関する設定 ～ MySQLデータベース

ここでは MySQL へログを出力しアーカイブし、ACID により統計を視覚的に把握する事を目的としています。先に出力先の MySQL データベースを指定しておきます。

データベース作成については後述します。

ルールファイルに関する設定

ネットワーク環境の設定の他に、 下の方に Snort が使用しないルールセットはコメントアウトされています。必要があればコメントを外し有効にします。

nclude $RULE_PATH/web-iis.rules

例えば、上記は IIS Webサーバーに関する攻撃を検知するルールですが、自分自身への不正アクセスを監視する目的であれば必要ありません。

プリプロセッサについて

Snort の特徴としてプリプロセッサによる機能拡張設定があります。これは、ルールセットによる検知に対して、更に微かなチューニングを行ったり新たに機能を追加 する事もできます。実際に運用を始めてから必要があれば、これらのチューニングを行います。

例えば、プリプロセッサ http_inspect_server では HTTPトラフィックおよび　プロトコル上の例外の正規化・検出が行えます。これを修正する事で、誤検知に関するチューニングや機能拡張が行えます。許可されていない proxy サーバー検出機能を拡張する事も可能です。

Snort の基本的な設定は出来ましたが、この段階ではルールセットがありません。また、検出した不正パケットを出力する MySQL データベースもありませんのでまだ起動できる常態にありません。次は、Snort が使用する MySQL データベースを準備します。

この標題のトップへ　３ / ６