概要
自宅のCentOSのセキュリティ対策として、
Snortを使ってみた。
インストール&起動
インストール
wget https://www.snort.org/downloads/snort/daq-2.0.6-1.centos7.x86_64.rpm
wget https://www.snort.org/downloads/snort/snort-2.9.8.0-1.centos7.x86_64.rpm
yum install daq-2.0.6-1.centos7.x86_64.rpm
yum install snort-2.9.8.0-1.centos7.x86_64.rpm
ルールの取得
公式ページでユーザ登録をして、
ルールファイルを取得する。
取得したルールファイルを展開する。
tar zxf snortrules-snapshot-CURRENT.tar.gz -C /etc/snort
設定ファイルの編集
①内部ネットワークの指定
ipvar HOME_NET any
↓
ipvar HOME_NET <内部ネットワークアドレスを指定(例:192.168.1.0/24)>
②内部ネットワークを不正アクセスとして扱わないように設定
ipvar EXTERNAL_NET any
↓
ipvar EXTERNAL_NET !$HOME_NET
③各種パスの設定
hoge_PATHを適宜設定
④white_listとblack_listのファイルを作成
WHITE_LIST_PATHとBLACK_LIST_PATH配下に、
white_list.rulesとblack_list.rulesを作成する。
(今回は空のファイルを作成した。)
起動
systemctl start snortd
動作確認
pingで動作確認
/etc/snort/rules/local.rulesに以下を追記。
alert icmp $HOME_NET any -> $HOME_NET any (msg:"ICMP traffic";sid:777;)
snortを再起動
systemctl restart snortd
他サーバから以下を実行
ping <snortをインストールしたサーバのIPアドレス>
以下にログが出力されていること。
/var/log/snort/alert