Snort ルールファイルの設置と設定

設定

・ルールセットの取得
    Subscriber Release 
        最新のルールセット(有償)

    Registered User Release 
        Subscriber Release より30日遅れのルールセット

    Community Rules
        オープンソースコミュニティが作成したルールセット

    Registered User Release を取得
    [root]# wget https://www.snort.org/rules/snortrules-snapshot-29110.tar.gz?oinkcode=<oinkcode> 
                  -O snortrules-snapshot-29110.tar.gz
・設定ファイル/ルールファイルのコピー
    [root]# mkdir /etc/snort
    [root]# tar xvfz snortrules-snapshot-29110.tar.gz -C /etc/snort
    [root]# chown -R snort:snort /etc/snort
・設定
    [root]# vim /etc/snort/etc/snort.conf

      # ホームネットワーク指定
      ipvar HOME_NET [グローバルIP/32,192.168.1.0/24]

      # 外部ネットワーク指定(内部のアクセスを除外する)
      ipvar EXTERNAL_NET !$HOME_NET

      # 各種サーバー指定
      ipvar DNS_SERVERS $HOME_NET
      ipvar SMTP_SERVERS $HOME_NET
      ipvar HTTP_SERVERS $HOME_NET
      ipvar SQL_SERVERS $HOME_NET
      ipvar TELNET_SERVERS $HOME_NET
      ipvar SSH_SERVERS $HOME_NET
      ipvar FTP_SERVERS $HOME_NET
      ipvar SIP_SERVERS $HOME_NET

      # ルールファイル指定
      ipvar RULE_PATH ../rules
      ipvar SO_RULE_PATH ../so_rules
      ipvar PREPROC_RULE_PATH ../preproc_rules

      # ホワイトリスト/ブラックリスト
      ipvar WHITE_LIST_PATH ../rules
      ipvar BLACK_LIST_PATH ../rules

      # 249行目, 506行目(コメントアウト)
      #dynamicdetection directory /usr/local/lib/snort_dynamic.rules
      #whitelist $WHITE_LIST_PATH/white_list.rules, \
      # 507行目(black_list.rules を blacklist.rules に変更)
      blacklist $BLACK_LIST_PATH/blacklist.rules

      # 513行目あたりに追加(alert を省略形式で出力)
      output alert_fast: alert

      # ルールファイルの読み込み
      # Step #7:
      # site specific rules(全てコメント削除)
      include $RULE_PATH/local.rules
        .

      # Step #8:
      # decoder and preprocessor event rules(全てコメント削除)
      include $PREPROC_RULE_PATH/preprocessor.rules
        .

      # Step #9:
      # dynamic library rules(全てコメント削除)
      include $SO_RULE_PATH/browser-ie.rules
        .

      # legacy dynamic library rule files(全てコメントのまま)
      # include $SO_RULE_PATH/bad-traffic.rules
        .
      
      include $SO_RULE_PATH/web-misc.rules