snort を遣ってみる

・snort
http://www.snort.org/

・snort は libpcap を遣う
http://www.tcpdump.org/

参考
・SNORT で親友検知
http://www.hawkeye.ac/micky/network/snort.html

・ZDNet エンタープライズヘルプデスクセキュリティ How-To
 Snort を導入する
http://www.zdnet.co.jp/help/howto/security/ids/01/index.html


・ tarball を取得して展開
rin@mariko[~/cmp]% wget http://www.snort.org/dl/snort-2.0.0.tar.gz && wget http://www.tcpdump.org/daily/libpcap-current.tar.gz
rin@mariko[~/cmp]% tar xzf snort-2.0.0.tar.gz && tar xzf libpcap-current.tar.gz 


・libpcap をインストール
rin@mariko[~/cmp]% cd libpcap-2003.05.03/
rin@mariko[~/cmp/libpcap-2003.05.03]% ./configure && make
rin@mariko[~/cmp/libpcap-2003.05.03]% su
bash-2.04# make install
bash-2.04# exit


・snort をインストール
ここではファイル以下のように配置することにする。

rin@mariko[~/cmp/snort-2.0.0]% which snort
/usr/local/bin/snort

 snort のディレクトリ
 /usr/local/snort

ルールセット
 /usr/local/snort/rules

ログ
 /var/log/snort

作業開始
rin@mariko[~/cmp]% cd snort-2.0.0
rin@mariko[~/cmp/snort-2.0.0]% ./configure && make
rin@mariko[~/cmp/snort-2.0.0]% su
bash-2.04# make install

各種ファイルをコピーする
bash-2.04# cd rules/
bash-2.04# cp *.rules /usr/local/snort/
bash-2.04# cd ..
bash-2.04# cd etc
bash-2.04# cp reference.config /usr/local/snort/
bash-2.04# cp classification.config /usr/local/snort/
bash-2.04# cp snort.conf  /usr/local/snort/
bash-2.04# cd /usr/local/snort/
bash-2.04# mkdir /var/log/snort
bash-2.04# chown 700 /var/log/snort/

 snort 用の group user を作成
bash-2.04# groupadd snort
bash-2.04# useradd -g snort -d /dev/null -c "Snort User" -s /bin/false snort
bash-2.04# chown -R snort.snort /usr/local/snort /var/log/snort

実行
bash-2.04# /usr/local/bin/snort -D -A full -c /usr/local/snort/snort.conf -g snort -u snort