Snortは、よく知られているオープンソースのネットワーク侵入検知および防止システム(IDS)です。 Snortは、ネットワークインターフェイスを介して送受信されるパッケージを監視するのに非常に便利です。トラフィックフローを監視するためのネットワークインターフェイスを指定できます。 Snortは、署名ベースの検出に基づいて機能します。 Snortは、さまざまなタイプのルールセットを使用して、コミュニティなどのネットワーク侵入を検出します。登録ルールとサブスクリプションルール。正しくインストールおよび構成されたSnortは、SMBプローブ、マルウェア感染、侵害されたシステムなど、さまざまな種類の攻撃や脅威を検出するのに非常に役立ちます。この記事では、Ubuntu20.04システムにSnortをインストールして構成する方法を学習します。
Snortルール
Snortは、ルールセットを使用して、次のようなネットワーク侵入を検出します。使用可能なルールセットには次の3種類があります。
コミュニティルール
これらは、snortユーザーコミュニティによって作成され、無料で利用できるルールです。
登録されたルール
これらはTalosが提供するルールであり、登録ユーザーのみが利用できます。登録はほんの一瞬で無料です。登録後、ダウンロードリクエストの送信中に送信するために必要なコードを取得します
サブスクリプションルール
これらのルールも登録済みのルールと同じですが、リリース前に登録済みのユーザーに提供されます。これらのルールセットは有料であり、コストは個人ユーザーまたはビジネスユーザーに基づいています。
Snortのインストール
Linuxシステムへのsnortのインストールは、手動で時間のかかるプロセスになります。現在、ほとんどのLinuxディストリビューションでSnortパッケージがリポジトリで利用できるようになっているため、インストールは非常に簡単で簡単です。パッケージは、ソースからだけでなく、ソフトウェアリポジトリからもインストールできます。
インストール中に、ネットワークインターフェイスに関する詳細を入力するように求められます。次のコマンドを実行し、将来の使用に備えて詳細をメモします。
$ ip a
UbuntuにSnortツールをインストールするには、次のコマンドを使用します。
$ sudo apt install snort
上記の例では、 ens33 はネットワークインターフェースの名前であり、 192.168.218.128 IPアドレスです。 / 24 は、ネットワークがサブネットマスク255.255.255.0であることを示しています。インストール中にこれらの詳細を提供する必要があるため、これらのことに注意してください。
次に、Tabキーを押して[OK]オプションに移動し、Enterキーを押します。
次に、ネットワークインターフェイスの名前を入力し、Tabキーを使用して[OK]オプションに移動し、Enterキーを押します。
ネットワークアドレスにサブネットマスクを指定します。 Tabキーを使用して[OK]オプションに移動し、Enterキーを押します。
インストールが完了したら、verifyの下にあるコマンドを実行します。
$ snort --version
snortの構成
Snortを使用する前に、構成ファイルで行うべきことがいくつかあります。 Snortは、構成ファイルを / etc / snort /ディレクトリに保存します。 ファイル名としてsnort.conf 。
任意のテキストエディタで構成ファイルを編集し、次の変更を加えます。
$ sudo vi /etc/snort/snort.conf
ipvar HOME_NET anyの行を見つけます 構成ファイルで、anyをネットワークアドレスに置き換えます。
上記の例では、ネットワークアドレス 192.168.218.0 サブネットマスク付きプレフィックス24 使用されている。ネットワークアドレスに置き換えて、プレフィックスを指定します。
ファイルを保存して終了します
Snortルールのダウンロードと更新
Snortは、侵入検知にルールセットを使用します。記事の冒頭で説明したルールセットには3つのタイプがあります。この記事では、コミュニティルールをダウンロードして更新します。
ルールをインストールおよび更新するには、ルールのディレクトリを作成します。
$ mkdir /usr/local/etc/rules
次のコマンドを使用して、コミュニティルールをダウンロードします。
$ wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
または、以下のリンクを参照してルールをダウンロードすることもできます。
https://www.snort.org/downloads/#snort-3.0
以前に作成したディレクトリにダウンロードしたファイルを抽出します。
$ tar xzf snort3-community-rules.tar.gz -C /usr/local/etc/rules/
プロミスキャスモードを有効にする
Snotコンピュータのネットワークインターフェイスにすべてのトラフィックをリッスンさせる必要があります。これを実現するには、無差別モードを有効にします。インターフェイス名を使用して次のコマンドを実行します。
$ sudo ip link set ens33 promisc on
ここで、ens33はインターフェース名です
実行中のsnort
これで、Snortを開始できます。以下の構文に従い、それに応じてパラメータを置き換えてください。
$ sudo snort -d -l /var/log/snort/ -h 192.168.218.0/24 -A console -c /etc/snort/snort.conf
どこで、
-dは、アプリケーション層のパケットをフィルタリングするために使用されます
-lはロギングディレクトリの設定に使用されます
-hはホームネットワークを指定するために使用されます
-Aは、アラートをコンソールウィンドウに送信するために使用されます
-cは、snort構成を指定するために使用されます
Snortが開始されると、ターミナルに次の出力が表示されます。
ログファイルをチェックして、侵入検知に関する情報を取得できます。
Snortはルールセットに基づいて動作します。したがって、ルールセットは常に最新の状態に保ってください。ルールをダウンロードして定期的に更新するようにcronジョブを設定できます。
結論
このチュートリアルでは、Linuxでネットワーク侵入防止システムとしてsnortを使用する方法を学びました。また、Ubuntuシステムにsnortをインストールして使用し、それを使用してリアルタイムのトラフィックを監視し、脅威を検出する方法についても説明しました。