close

由於工作上的需要用到 Snort,因此做個筆記

安裝 Snort

sudo apt-get install snort-mysql snort-doc

Snort 設定檔預設的位置

/etc/snort/snort.conf

Snort 輸出設定

  1. 輸出 log 到 syslog 中
    log 的類別為 AUTH,等級為 ALERT (可依照需求自行更改)
    2. output alert_syslog: LOG_AUTH LOG_ALERT


  2. 輸出二進位的 log 檔,預設目錄為
    /var/log/snort


    不設定的話 (或將此行註解掉),也會將制產生 log 檔 

    3. output log_tcpdump: tcpdump.log


  3. 輸出 log 到資料庫中
    4. output database: log, mysql, user=root password=test dbname=db host=localhost


  4. 只產生警告,而不儲存 log
    (配合項目 1、2 使用,即可產生 log 到 syslog 中,而不儲存在本機中)
    5. output log_null


Snort 自訂規則

  • 格式
    • (action) (protocol) (source ip & port) (direction) (dest ip & port) (rule)


  • 範例 - 記錄所有的封包資訊
    • alert ip any any -> any any (msg:'infosec_firewall';sid:20100923;)

說明

  • action
    1. alert:觸發規則即警告,並且記錄下來
    2. log:單純只記錄下 log
    3. pass:略過此封包
    4. drop:告訴 iptables 丟棄此封包
    5. sdrop:告訴 iptables 丟棄此封包,並且不做任何記錄
    6. reject:告訴 iptables 拒絕此封包
    7. active:和 alert 一樣,並且啟動另外一條 rule
    8. dynamic,和 log 一樣,但只會由 active 啟動
  • protocol
     tcp、udp、icmp、ip
  • source / dest ip & port
    直接設定 ip 或是網段,也可使用中括號設定多個 ip、網段,中間用逗號隔開,前面加上 ! 代表不包含這些 ip 
  • direction
    -> 、 <- 、 <>
  • rule

最後在 Snort 的設定檔中,引入此規則的檔案

include $RULE_PATH/package.rules
arrow
arrow
    全站熱搜

    維護純潔思想組 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄