.
セキュリティ / SSL => FC/CentOS4 で構築する不正侵入検知システム > 1-3.Snort ネットワークに関する設定
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

監視ネットワーク・データベース・ルール ~ Snort-2.6.x 設定

Snort が監視対象とするネットワークの設定を行います。

Snort の設置場所

どこに設置するか、つまりネットワーク構成やハードウェア構成によって適切な設定は異なります。また、Snort は結構リソースを消費します。(特にメモり) WAN / LAN 双方に監視する場合は、それぞれ snort デーモンが起動しますので更に多くのメモリを必要とします。

自分に届くパケット以外を監視する必要がない場合、NIC はプロミスキャスモードで動作する必要がありませんし、自分宛に届く不正パケットの検出といった目的によっても変わってきます。また、ファイアウォールによっても監視できるパケットは異なります。

参考URL => Q: Snortセンサーを設置するよい場所はどこですか?

Snort の設定 ~ snort.conf の修正

Snort の設定は /etc/snort/snort.conf で行います。以下、設定例です。

監視ネットワークに関する設定

Snort が監視するネットワークに関する設定は、以下で行います。


/etc/snort/snort.conf

# ローカルエリアを指定します。つまり、監視対象とするネットワークです。
var HOME_NET 192.168.1.0/24

# 複数のネットワークを指定する場合は
ver HOME_NET [192.168.1.0/24,192.168.0.0/24]

# 外部ネットワークを指定します。
# 以下の例では上記HOST_NET以外を外部ネットワークとし
# 攻撃を監視することになります。
var EXTERNAL_NET !$HOME_NET


監視サーバーの指定(設定例)
ネットワークに繋がるサーバーを指定します。当然ですが Snort がプロミスキャスモードで監視できるネットワークである必要があります。デフォルトでは $HOME_NET any となっています。絞り込む場合は、同じ要領で指定します。

DNSサーバーの指定
# List of DNS servers on your network
var DNS_SERVERS $HOME_NET

メールサーバーの指定
# List of SMTP servers on your network
#var SMTP_SERVERS $HOME_NET
var SMTP_SERVERS [192.168.1.0/24,192.168.0.0/24]

ログの出力先に関する設定 ~ MySQLデータベース

ここでは MySQL へログを出力しアーカイブし、ACID により統計を視覚的に把握する事を目的としています。先に出力先の MySQL データベースを指定しておきます。

データベース作成については後述します。

/etc/snort/snort.conf.

# ルールパスを変更 /etc/snort/rules としたので
# var RULE_PATH ../rule
# ↓
var RULE_PATH ./rules

# mySQLに出力するデータベースとアカウントを指定
output database: log, mysql, user=snort password=***** dbname=snort_db host=localhost

ルールファイルに関する設定

ネットワーク環境の設定の他に、 下の方に Snort が使用しないルールセットはコメントアウトされています。必要があればコメントを外し有効にします。

/etc/snort/snort.conf

include $RULE_PATH/nntp.rules
include $RULE_PATH/other-ids.rules
# include $RULE_PATH/web-attacks.rules
# include $RULE_PATH/backdoor.rules

nclude $RULE_PATH/web-iis.rules

例えば、上記は IIS Webサーバーに関する攻撃を検知するルールですが、自分自身への不正アクセスを監視する目的であれば必要ありません。

プリプロセッサについて

Snort の特徴としてプリプロセッサによる機能拡張設定があります。これは、ルールセットによる検知に対して、更に微かなチューニングを行ったり新たに機能を追加 する事もできます。実際に運用を始めてから必要があれば、これらのチューニングを行います。

例えば、プリプロセッサ http_inspect_server では HTTPトラフィックおよび プロトコル上の例外の正規化・検出が行えます。これを修正する事で、誤検知に関するチューニングや機能拡張が行えます。許可されていない proxy サーバー検出機能を拡張する事も可能です。

参照URL => プリプロセッサ
参照URL => @IT:Snortでつくる不正侵入検知システム ~ プリプロセッサについて
参照URL =>@IT:Snortでつくる不正侵入検知システム2 ~ http_inspect_server

Snort の基本的な設定は出来ましたが、この段階ではルールセットがありません。また、検出した不正パケットを出力する MySQL データベースもありませんのでまだ起動できる常態にありません。次は、Snort が使用する MySQL データベースを準備します。

1.侵入検知システム構築

2.ルールセットの自動更新

3.Snort の活用


keyword: セキュリティ

iconセキュリティアプライアンス

icon山田オルタナティブ 注目!

iconShare :セキュリティ 注目!

iconデジタルフォレンジック

icon暗号化技術

iconWAF

icon検疫ネットワーク

iconメールフィルタリングツール

iconPCログ監視ツール

iconスパム対策ツール

iconワンタイムパスワード

iconウイルス対策ソフト

iconPKI

icon個人情報保護法対策特集(前編)_フォレンジック

icon個人情報保護法対策特集(後編)_暗号化ツール

iconWeb暗号の基礎技術「PKIとSSL」

iconハイジャッカー

icon検疫ネット実現の3方式

iconウイルス対策サービス

iconメール暗号化ツール

iconバイオメトリクス認証

iconバイオメトリクス認証ツール

iconアンチウイルスソフト

icon情報漏洩防止ツール

iconIDS(不法侵入検知システム)

iconシングルサインオン(SSO)

icon初めての「検疫ネットワーク」入門

My Select Goods

デジタル器機

おすすめデジタル一眼レフ

セキュリティ強化型 ノートPC

P2P無料IP電話

iconSkype(スカイプ)とは?

icon無料IP電話スカイプ>Download

スカイプ 対応フォン(USB)

SKYPE カンファレスフォン BUFFALO  USB対応 Skypeフォン BSKP-U201/SV CG-USBPH01 Skype API対応 コンパクト USBフォン

ELECOM Skype会議用ハンズフリーフォン MS-CO95USV ELECOM SKYPE対応アドレス帳 BT-MG2 WB-2501 Skype標準搭載USBハンディフォン

SONY インターネットテレフォン 「マウストーク」 ブルー[VN-CX1/L] SONY インターネットテレフォン 「マウストーク」 ブライトレッド[VN-CX1/R] GOD ABILITY IPフォン SKYPE対応 USB VOLP PHONE USBハンドセット P5-D

God Ability スカイプ対応USBIPフォン P4-K ハギワラシスコム USBスカイプハンドセット HUD-SKH01 GH-UCM-HS スカイプ対応イヤフォンタイプヘッドセット

セキュア Linux 関連書籍

bottom_mark
ページ最上部
ページ最上部 前のページ