MoMoSo-NET.COM. BLOG

2006-04-08: snortで不正侵入検知

IDS(Intrusion Detection System)であるSnortのインストールを行うことにした。

それにしてもsnortって名前はやっぱり豚がクンクンとトリフを探し当てるように、ネットワーク上の怪しい何かを嗅ぎ分けるようなので付けられた名前なのでしょうか？
このセキュリティ対策も食べ物で決まったようなので食べ物対策シリーズ第３弾のはじまりです。（ちょっと強引ですが）



パッケージの確認

gentooez8 ~ # emerge -pv snort

These are the packages that I would merge, in order:

Calculating dependencies ...done!
[ebuild N ] dev-libs/libpcre-6.3 -doc 552 kB
[ebuild N ] net-analyzer/snort-2.4.3-r1 -flexresp -inline +mysql +odbc +postgres -prelude (-selinux) -sguil -snortsam +ssl 3,457 kB

Total size of downloads: 4,010 kB
事前にlibpcreが必要みたいですね。これは正規表現がPerlと仲良くするライブラリでしょうか？


インストール

gentooez8 ~ # emerge snort
省略
* To use a database as a backend for snort you will have to
* import the correct tables to the database.
* You will have to setup a database called snort first.
*
* MySQL: zcat /usr/share/doc/snort-2.4.3-r1/schemas/create_mysql.gz | mysql -p snort
* PostgreSQL: import /usr/share/doc/snort-2.4.3-r1/schemas/create_postgresql.gz
* SQL tables need to be created - look at /usr/share/doc/snort-2.4.3-r1/schemas/
*
* Also, read the following Gentoo forums article:
* http://forums.gentoo.org/viewtopic-t-399801.html
*
* Only a basic set of rules was installed.
* Please add your other sets of rules to /etc/snort/rules.
* For more information on rules, visit http://www.snort.org/.
省略

MySQLでデータベース作れって書いてけどまずは！


動作確認

--== Initialization Complete ==--

　　　，，＿ 　　-*> Snort! <*-
　ｏ〝　　　）~ 　　Version 2.4.3 (Build 26)
　　’ ’ ’ ’　　　By Martin Roesch & The Snort Team: http://www.snort.org/team.html
(C) Copyright 1998-2005 Sourcefire Inc., et al.
NOTE: Snort's default output has changed in version 2.4.1!
The default logging mode is now PCAP, use "-K ascii" to activate
the old default logging mode.
すごい豚が出てきた！


MySQLデータベースの作成

webminあたりでsnortのユーザとデータベースを作成し
zcat /usr/share/doc/snort-2.4.3-r1/schemas/create_mysql.gz | mysql -p snort
を実行
よく考えたらPostgreSQLでも良かったな〜なんて！


confファイルの修正

gentooez8 ~ # vi /etc/snort/snort.conf

@@ -568,7 +579,7 @@
# See the README.database file for more information about configuring
# and using this plugin.
#
−# output database: log, mysql, user=root password=test dbname=db host=localhost
＋ output database: log, mysql, user=snort password=xxxxxxxxxxxxxxxx dbname=snort host=localhost
# output database: alert, postgresql, user=snort dbname=snort
# output database: log, odbc, user=snort dbname=snort
# output database: log, mssql, dbname=snort user=snort password=test


サービスの起動

gentooez8 ~ # /etc/init.d/snort start
OKならばrc-update add snort defaultしておく


解析

パッケージの確認！
gentooez8 ~ # emerge -pv acid

These are the packages that I would merge, in order:

Calculating dependencies
!!! All ebuilds that could satisfy "acid" have been masked.
!!! One of the following masked packages is required to complete your request:

• net-analyzer/acid-0.9.6_beta23 (masked by: ~x86 keyword)
  
• net-analyzer/acid-0.9.6_beta23-r1 (masked by: ~x86 keyword)
  

For more information, see MASKED PACKAGES section in the emerge man page or
refer to the Gentoo Handbook.

こんなんでたらこんなんで！ぽん
gentooez8 # ACCEPT_KEYWORDS="~x86" emerge -pv acid

These are the packages that I would merge, in order:

Calculating dependencies ...done!
[blocks B ] dev-php/mod_php (is blocking dev-lang/php-5.1.2)
[blocks B ] dev-php/php (is blocking dev-lang/php-5.1.2)
[blocks B ] dev-php/mod_php (is blocking dev-lang/php-4.4.2)
[blocks B ] dev-php/php (is blocking dev-lang/php-4.4.2)
[ebuild N ] app-admin/php-toolkit-1.0-r2 0 kB
[ebuild N ] dev-lang/php-5.1.2 -adabas -apache +apache2 -bcmath +berkdb -birdstep +bzip2 -calendar -cdb -cgi +cjk -cli +crypt -ctype +curl -curlwrappers -db2 -dba -dbase -dbmaker -debug -discard-path -doc -empress -empress-bcs -esoob +exif -fastbuild -fdftk -filepro -firebird -flatfile -force-cgi-redirect -frontbase -ftp +gd -gd-external +gdbm +gmp -hardenedphp -hash -hyperwave-api -iconv +imap -informix -inifile -interbase -iodbc +ipv6 -java-external +kerberos +ldap -libedit -mcve -memlimit +mhash -ming -msql -mssql +mysql +mysqli +ncurses +nls -oci8 -oci8-instant-client +odbc -pcntl +pcre -pdo -pdo-external -pic -posix +postgres -qdbm +readline -recode -reflection -sapdb +sasl -session -sharedext -sharedmem -simplexml -snmp -soap -sockets -solid +spell -spl -sqlite +ssl -sybase -sybase-ct -sysvipc -threads -tidy -tokenizer +truetype -vm-goto -vm-switch -wddx +xml -xmlreader -xmlrpc -xmlwriter -xpm -xsl -yaz -zip +zlib 6,178 kB
[ebuild N ] dev-php/adodb-4.72 416 kB
[ebuild N ] app-arch/cabextract-1.1 183 kB
[ebuild N ] media-fonts/corefonts-1-r2 +X 0 kB
[ebuild N ] dev-lang/php-4.4.2 -adabas -apache +apache2 -bcmath +berkdb -birdstep +bzip2 -calendar -cdb -cgi +cjk -cli +crypt -ctype +curl -db2 -dba -dbase -dbmaker -dbx -debug -discard-path -doc -empress -empress-bcs -esoob +exif +expat -fastbuild -fdftk -filepro -firebird -flatfile -force-cgi-redirect -frontbase -ftp +gd -gd-external +gdbm +gmp -hardenedphp -hyperwave-api -iconv +imap -informix -inifile -interbase -iodbc +ipv6 -java-external -java-internal +kerberos +ldap -libedit -mcal -mcve -memlimit +mhash -ming -mnogosearch -msql -mssql +mysql +ncurses +nls -oci8 -oci8-instant-client +odbc -oracle7 -overload -ovrimos -pcntl +pcre -pfpro -pic -posix +postgres +readline -recode -sapdb -session -sharedext -sharedmem -snmp -sockets -solid +spell -sqlite +ssl -sybase -sybase-ct -sysvipc -threads +tiff -tokenizer +truetype -wddx +xml -xmlrpc -xpm -xsl -yaz -zip +zlib 4,282 kB
[ebuild N ] dev-php4/jpgraph-1.20.2 +truetype 4,423 kB
[ebuild N ] net-analyzer/acid-0.9.6_beta23-r1 +apache2 +vhosts 113 kB

Total size of downloads: 15,597 kB

これはdev-php/mod_phpとdev-php/phpがブロックしている。通常はこれらを削除してインストールすればOKなのだが、今回はやめてバックアップ機にインストールすることにした。
つまりメイン機で収集した情報（MySQLデータ）をバックアップ機が解析するって感じで。