読者です 読者をやめる 読者になる 読者になる

内角540°

セキュリティ。SIEMとかIPSとか統計とかクラウドとか。数学以外で。

Snortインストール方法(Windows)

フリーの不正侵入検知といえば、Snort
プラットフォームはLinuxだけでなく、WindowsMacなどでも利用できる。
今回はWindowsに導入し、操作感を確かめる。

f:id:gokaxtukei:20170321215100p:plain:w300

Snortとは

Snortオープンソースで提供されるIDS
「誰でも・簡単に・無料で」ミドルウェアのセキュリティ向上を実現する
第一歩なソフトウェアです。

オープンソースで提供されるIDSは複数ある。
その中でも Snort は最も有名であり、
シグネチャの記述方法もデファクトスタンダードと言えるかと!

商用版のSnort

商用版も同じシグネチャが使われている
※一部有料
www.cisco.com

シグネチャ

Snortコミュニティのメンバーで作成されている。
研究組織はCisco Talos Security
http://www.talosintelligence.com/

Snortは現在30,000以上のパターンがデフォルトで入っていて、
IDS市場では最大数だとおもう。
聞こえはいいけど管理が大変。。。

カスタムシグネチャ

自分でもルールを作れるのがすごい!
gokaxtukei.hatenablog.com


導入

OS : Windows8.1
WIN10でも問題なく動いている

WinPcapは入れておくこと
http://winpcap.polito.it/

インストール

承諾

f:id:gokaxtukei:20170321213853p:plain:w400

コンポーネントは必須じゃなけど、チェックしておく

ダイナミックモジュールは入れてもいいかも
f:id:gokaxtukei:20170321213902p:plain:w400

任意の場所に保存

今回はC:直下に配置します。
f:id:gokaxtukei:20170321213909p:plain:w400

終わり

f:id:gokaxtukei:20170321214034p:plain:w400

メッセージ

f:id:gokaxtukei:20170321214234p:plain:w400

設定ファイルの編集

デフォルトの設定ファイルでは動かない
#無能

設定ファイルはsnort/etc/snort.confで行う。
下記リンクを見て設定を書き換えます。
kailaspatil.blogspot.jp

シグネチャのダウンロード

<ダウンロードにはsnortへの登録が必要!>
Snort - Network Intrusion Detection & Prevention System

Registedから最新のスナップショットを拾ってきます。
https://www.snort.org/downloads
f:id:gokaxtukei:20170321214713p:plain:w400


解凍し、ruleフォルダ内をすべてsnort/rules配下に配置します。
f:id:gokaxtukei:20170321214740p:plain:w400


準備万端!
Snortインストール場所によって実行コマンドは変えてね
管理者権限でコマンドプロントを開いて、snort binへ移動

cd c:\Snort\bin


実行コマンドは…

snort -c c:\Snort\etc\snort.conf -i <インターフェース名・番号> -A console

インターフェース番号は snort -Wで調べられる
f:id:gokaxtukei:20170321214847p:plain:w400

検知はリアルタイムでコンソールに表示されます!
f:id:gokaxtukei:20170321214854p:plain:w400