Snort

snortとは？

　snortとはIDS（侵入検知システム）です。配布されているシグネチャに基づき、怪しい通信の検出を行います。pfSenseのデフォルトインストールには含まれていないため、パッケージのインストールが必要です。（追記：YoutubeでSnortの設定を教えてくれるところがあります。URL:https://www.youtube.com/watch?v=o3u7BJRW1ek　ここを観ながらじっくりやっても問題ないかと思います）

snortパッケージのインストール

「System > Packages」をクリックしパッケージ一覧を表示します。

「Snort」を探し、「＋」をクリックします。

確認画面が出るので、「OK」で継続。

インストールが始まります。数分かかります。

「Installation of snort completed」と表示されたらおしまい。

念のため、「Installed Packages」でSnortが見えることを確認します。

これでインストールは完了です。

snortの初期設定

「Services > snort」をクリックします。

「Global setting」タブに移動します。グローバル設定の画面です。

ルールのダウンロード設定です。「Install basic rules or premium rules」をクリックし、oinkmastercodeを入力します。

あらかじめhttps://www.snort.org/signup でアカウントをつくり、oinkmastercodeを取得しておいてください。
「Install Emergingthreats rules」もチェックしておきましょう。
Update間隔も設定します。この画面では6時間で設定しました。
設定が終わったら「Save」。

「Install Snort.org rules」と「Install Emergingthreats rules」の違いは？

「Snort.org rules」はSnort.orgが公式にメンテナンスしているルールです。無償でも利用できますが、有償版よりしばらく遅れたRuleしか使えません。「Emergingthreats rules」はコミュニティベースでメンテナンスされているルールです。片方だけ使うこともできるし、両方使うこともできます。

「Rule Update」タブに移動し、「Update Rules」をクリックします。

ルールのアップデートが始まります。結構時間がかかります。

この画面が出たらルールのアップデートは完了です。

インターフェースの設定

「Snort Interfaces」のタブで、監視するインターフェースを設定します。

「＋」を押してインターフェースを追加します。

Interfeceの設定画面です。

Enableにチェックを入れます。監視するインターフェースを設定しまずが、まずはWANを設定してみます。

その他、パフォーマンスに関する項目や、検出したときにブロックするかどうかの設定などもありますが、とりあえずそのまま進みます。

Saveのあとはお決まりのApply。

Applyすると、インターフェース設定にタブが増えます。

Categoriesタブで、どのカテゴリのルールを監視するか設定していきます。

とりあえず全部チェックしてみました。

※時々、一部のCategoryでSnort起動時にエラーになることがあります。うまく起動しないときにはSystemlogで確認してみてください。引っかかっているCategoryのチェックをはずすとうまく起動したりします。うちの環境ではsnort_netbios.rulesで何度か引っかかったのでこれだけ無効にしました。

そしてお決まりのApply。

次に、Preprocessorsタブに移動します。

「HTTP Inspect Setting」をEnableにしてください。

いくつかのルールでは、このチェックが有効になっていないとSnort起動時にエラーで引っかかります。

そしていつもの「Apply」

もう一度「Snort Interfaces」タブに戻って、グリーンの三角マークをクリックします。

マークが変わり、インターフェース名の背景が緑になったら無事Snort起動です。

うまく起動できないときはSystem logを確認してください。エラーが出ているはずなので、そのエラーを丹念につぶしていけば起動できるはずです。

検知したルールは、「Alerts」タブで確認できます。

PRIORITYが３はそんなに気にする必要はありません。１とか２は本格的な攻撃のようです。早速SIPに対するポートに対するUserAgent取得試行が検知されました

((( ；ﾟДﾟ)))

チューニングについて

　IDSは誤検知（攻撃じゃないのに攻撃と検出してしまう、攻撃が検出できないなど）が必ずあります。とりあえずは全ルールを有効にして、しばらく様子を見てみるとよいでしょう。一週間程度動かせば、どんな攻撃が発生しているのか傾向をつかむことができます。

　動かしていないサービスに対するルールは無効にできます。たとえば、Webサーバを設置していないのであればWebサーバ用のルールは不要です。守るべきサーバで何をサービスとして動かしているのかをきちんと把握した上でルールを設定していきましょう。

　Snortのチューニングは他のサイトでも紹介されているのでそちらを参考にしてください。

誤検知用ホワイトリスト作りについて

Snortは、ONにしていると最初は繋がっても二度三度ぺージ移動していると繋がらなくなるケースが多いため、Snort用のホワイトリストを作って登録しておかないと、ドンドン不便になります（涙。ホワイトリストの作り方としては、FireWall -> Aliases でIPアドレスを登録していきます。IPアドレスの調べ方は、SnortのBlockedログから直近の時間でブロックされたIPアドレスを確認して、whoisかaguseでIPアドレスの範囲を特定、その範囲を地道に地道に登録していきます。サブネットが分からない方は、（http://note.cman.jp/network/subnetmask.cgi）ここを参照してみるといいと思います。

Blockedは激しくやってきます。でいて時間列にソートできないので、調べ方はとしては…Chromeを使っていて、21:50に特定サイトのパケットをブロックされたのであれば、検索に21:51 -> 21:50といった風に少しずつ時間の分をずらしていけば、特定しやすいです。そして特定できてIPアドレスの範囲が判明したら、Aliasesにアドレスを登録していきます。そして、Snort -> PassListでList Nameの番号を確認してから、WANSettingsの「Choose the networks Snort should inspect and whitelist」欄のPass Listで、Aliasesを指定してあげれば、Snortは登録されたIPアドレス群に対してスルーしてくれます。

AkamaiやCloudFlare、Amazonaws、Googleのアドレスはやたらめったに登録していいのか？

質問サイトで質問を立ててみた事はあるのですが結局分からずじまいというのが現状で、その辺詳しい方からの投稿がいただければなぁと思っています。

このページを編集するこのページを元に新規ページを作成

印刷する

コメント（1）

Snort - pfSenseで無料の最強ファイヤーウォールを作ろう！先頭へ

このページへのコメント

Snort - pfSense鐃緒申無鐃緒申鐃塾最駈申鐃春ワ申鐃緒申鐃巡ー鐃緒申鐃緒申鐃緒申鐃緒申鐃緒申鐃緒申鐃緒申 - Seesaa Wiki鐃淑ワ申鐃緒申鐃緒申鐃緒申 for 鐃緒申鐃殉￥申鐃夙フワ申鐃緒申 �≪�潟��若�� ≪�� http://www.pslcbi.com/moncler2014.html

Posted by �≪�潟��若�� ≪�� 2013年12月08日(日) 02:28:32 返信

コメントをかく

名前	ユーザIDを使用しないで書き込む	ユーザーIDを使う	ログインする
画像コード	画像に記載されている文字を下のフォームに入力してください。
備考	「http://」を含む投稿は禁止されています。
本文
利用規約をご確認のうえご記入下さい

pfSenseで無料の最強ファイヤーウォールを作ろう！

snortとは？

snortパッケージのインストール

snortの初期設定

インターフェースの設定

チューニングについて

誤検知用ホワイトリスト作りについて

AkamaiやCloudFlare、Amazonaws、Googleのアドレスはやたらめったに登録していいのか？

このページへのコメント

コメントをかく

Menu

イントロダクション

設定方法

HowTo・Tipsなど

このサイトについて

おすすめ

最近更新したページ

2015-01-01

2014-12-03

2014-11-20

2014-11-17

2014-10-20

2014-10-19

2014-10-05

2014-10-04

2014-09-23

2011-04-24

2011-04-17

2010-09-22

2010-08-28

最新コメント

2019-03-08

2016-04-20

2013-12-08

2013-12-07

QRコード

アクセス解析中