設定
・ルールセットの取得
Subscriber Release
最新のルールセット(有償)
Registered User Release
Subscriber Release より30日遅れのルールセット
Community Rules
オープンソースコミュニティが作成したルールセット
Registered User Release を取得
[root]# wget https://www.snort.org/rules/snortrules-snapshot-29160.tar.gz?oinkcode=<oinkcode>
-O snortrules-snapshot-29160.tar.gz
・設定ファイル/ルールファイルのコピー
[root]# mkdir /etc/snort
[root]# tar xvfz snortrules-snapshot-29160.tar.gz -C /etc/snort
[root]# chown -R snort:snort /etc/snort
・設定
[root]# vim /etc/snort/etc/snort.conf
# ホームネットワーク指定
ipvar HOME_NET [グローバルIP/32,192.168.1.0/24]
# 外部ネットワーク指定(内部のアクセスを除外する)
ipvar EXTERNAL_NET !$HOME_NET
# 各種サーバー指定
ipvar DNS_SERVERS $HOME_NET
ipvar SMTP_SERVERS $HOME_NET
ipvar HTTP_SERVERS $HOME_NET
ipvar SQL_SERVERS $HOME_NET
ipvar TELNET_SERVERS $HOME_NET
ipvar SSH_SERVERS $HOME_NET
ipvar FTP_SERVERS $HOME_NET
ipvar SIP_SERVERS $HOME_NET
# ルールファイル指定
ipvar RULE_PATH ../rules
ipvar SO_RULE_PATH ../so_rules
ipvar PREPROC_RULE_PATH ../preproc_rules
# ホワイトリスト/ブラックリスト
ipvar WHITE_LIST_PATH ../rules
ipvar BLACK_LIST_PATH ../rules
# 249行目, 506行目(コメントアウト)
#dynamicdetection directory /usr/local/lib/snort_dynamic.rules
#whitelist $WHITE_LIST_PATH/white_list.rules, \
# 507行目(black_list.rules を blacklist.rules に変更)
blacklist $BLACK_LIST_PATH/blacklist.rules
# 513行目あたりに追加(alert を省略形式で出力)
output alert_fast: alert
# ルールファイルの読み込み
# Step #7:
# site specific rules(全てコメント削除)
include $RULE_PATH/local.rules
.
# Step #8:
# decoder and preprocessor event rules(全てコメント削除)
include $PREPROC_RULE_PATH/preprocessor.rules
.
# Step #9:
# dynamic library rules(全てコメント削除)
include $SO_RULE_PATH/browser-ie.rules
.
# legacy dynamic library rule files(全てコメントのまま)
# include $SO_RULE_PATH/bad-traffic.rules
.
include $SO_RULE_PATH/web-misc.rules