lpic303 侵入検知システム Snort


IDS

侵入検知システム:Instrusion Detection System の事らしい。ホスト型IDSとネットワーク型IDSの2つがあるらしいが、今回のSnortはネットワーク型のIDSだ。

ホスト型のIDSは不正アクセスやファイル改ざんを検知する。という事で前回のTripwireもIDSの一種という事らしい。なるほろ。

ネットワーク型のIDSであるSnortはTCP・UDP・IPなどのプロトコル解析が可能。シグネチャというルールを設定して検知を行うらしい。シグネチャはルールヘッダとルールボディで構成される。

まずは使ってみよう。

全く使った事もないので、どんなものかも想像つかない。こんな時は触ってみるのが一番早い。なんとなく今回のSnortはわりときっちりやろうと思っている。きっちりやった所は試験にあまり出ないというジンクスがあるけれど・・・。

以下、インストールメモ

参考サイト
CentOSで自宅サーバー構築

バージョンも変わっているので、紆余曲折はありましたが何とかインストールは完了しました。
まずは公式サイトからSnortをダウンロード。

wget https://www.snort.org/downloads/snort/snort-2.9.7.0.tar.gz

RPM作成に必要なものとか、何やら必要だったパッケージを下のとおり。

yum -y install libpcap-devel
yum --enablerepo=epel install libdnet libpcap
yum install libc.so.6
yum -y install libpcap.so.1
yum -y install mysql-bench php-pear
参考サイトに習ってrpm化して入れます。
# rpmbuild -tb --clean --with mysql snort-2.9.7.0.tar.gz

なんだかんだで上手くいきました。

daqは探してきてインストールした。
# rpm -ivh daq-2.0.2-1.centos6.x86_64.rpm
準備中...                ########################################### [100%]
   1:daq                    ########################################### [100%]


出来上がったrpmをインストールしました。
# rpm -ivh /root/rpmbuild/RPMS/x86_64/snort-2.9.7.0-1.x86_64.rpm
準備中...                ########################################### [100%]
   1:snort                  ########################################### [100%]

おや、MySQLのrpmができてない

できたーと思ってたけれど良くみると参考サイトと同じ–with mysqlを付けたのにrpmが出来ていない様子。
specファイルを確認するとmysqlの記述がなくなったようだ。過去に遡って2.9.1.1でようやく見つけた。

# grep mysql snort-2.9.7.0/rpm/snort.spec
# grep mysql snort-2.9.3.1/rpm/snort.spec
# grep mysql snort-2.9.1.1/rpm/snort.spec
#       --with mysql
# Default of no MySQL, but --with mysql will enable it
%define mysql 0
%{?_with_mysql:%define mysql 1}
  %define mysql 1
%package mysql
%if %{mysql}

参考サイト
ももーい鯖覚書

上記のサイトなどを見ると、snort-2.9.3からできなくなった模様。
書き出し先にデータベースを利用するのは他にも方法があるようなので、stableの最新2.9.7で進めることにします。

 

ま、動かしてみよう。

# snort

Running in packet dump mode

        --== Initializing Snort ==--
Initializing Output Plugins!
pcap DAQ configured to passive.
Acquiring network traffic from "eth0".
Decoding Ethernet

        --== Initialization Complete ==--

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.0 GRE (Build 149)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.4.0
           Using PCRE version: 7.8 2008-09-05
           Using ZLIB version: 1.2.3

犬さんか豚さんか分からないけど、ロゴが出てTcpdumpのようにsshのパケットがざ~っと流れる。違うのは最後でCtrl+cで止めると色々と情報が表示されました。

===============================================================================
Run time for packet processing was 0.623684 seconds
Snort processed 249 packets.
Snort ran for 0 days 0 hours 0 minutes 0 seconds
   Pkts/sec:          249
===============================================================================
Memory usage summary:
  Total non-mmapped bytes (arena):       806912
  Bytes in mapped regions (hblkhd):      12906496
  Total allocated space (uordblks):      669568
  Total free space (fordblks):           137344
  Topmost releasable block (keepcost):   132128
===============================================================================
Packet I/O Totals:
   Received:          249
   Analyzed:          249 (100.000%)
    Dropped:            0 (  0.000%)
   Filtered:            0 (  0.000%)
Outstanding:            0 (  0.000%)
   Injected:            0
===============================================================================
Breakdown by protocol (includes rebuilt packets):
        Eth:          249 (100.000%)
       VLAN:            0 (  0.000%)
        IP4:          249 (100.000%)
       Frag:            0 (  0.000%)
       ICMP:            0 (  0.000%)
        UDP:            2 (  0.803%)
        TCP:          246 ( 98.795%)
        IP6:            0 (  0.000%)
    IP6 Ext:            0 (  0.000%)
   IP6 Opts:            0 (  0.000%)
      Frag6:            0 (  0.000%)
      ICMP6:            0 (  0.000%)
       UDP6:            0 (  0.000%)
       TCP6:            0 (  0.000%)
     Teredo:            0 (  0.000%)
    ICMP-IP:            0 (  0.000%)
    IP4/IP4:            0 (  0.000%)
    IP4/IP6:            0 (  0.000%)
    IP6/IP4:            0 (  0.000%)
    IP6/IP6:            0 (  0.000%)
        GRE:            0 (  0.000%)
    GRE Eth:            0 (  0.000%)
   GRE VLAN:            0 (  0.000%)
    GRE IP4:            0 (  0.000%)
    GRE IP6:            0 (  0.000%)
GRE IP6 Ext:            0 (  0.000%)
   GRE PPTP:            0 (  0.000%)
    GRE ARP:            0 (  0.000%)
    GRE IPX:            0 (  0.000%)
   GRE Loop:            0 (  0.000%)
       MPLS:            0 (  0.000%)
        ARP:            0 (  0.000%)
        IPX:            0 (  0.000%)
   Eth Loop:            0 (  0.000%)
   Eth Disc:            0 (  0.000%)
   IP4 Disc:            1 (  0.402%)
   IP6 Disc:            0 (  0.000%)
   TCP Disc:            0 (  0.000%)
   UDP Disc:            0 (  0.000%)
  ICMP Disc:            0 (  0.000%)
All Discard:            1 (  0.402%)
      Other:            0 (  0.000%)
Bad Chk Sum:          190 ( 76.305%)
    Bad TTL:            0 (  0.000%)
     S5 G 1:            0 (  0.000%)
     S5 G 2:            0 (  0.000%)
      Total:          249
===============================================================================
Snort exiting

うん、まぁこんな感じでいいかな。検知システムはまだ先でやるとして、一応コマンドでもオプションは幾つかあるようです。載せておきます。

-a     ARPパケットを表示
-b     tcpdumpフォーマットでパケットを記録
-c     設定ファイルを指定
-d     アプリケーションレイヤーのデータをダンプ
-e     レイヤー2のパケットヘッダをダンプ
-l     ログディレクトリを指定
-L     バイナリ出力するファイルを指定
-T     Snortのテストモード
-u     初期化後にSnortを指定したユーザーで実行

ルールをDLしてみる

登録しなくても利用できるっぽいルールがあったので適用してみます。

# wget https://www.snort.org/downloads/community/community-rules.tar.gz
# tar zxvf community-rules.tar.gz
# cp -r community.rules/* /etc/snort/rules
# cat /etc/snort/rules/community.rules

設定に進む

結構大きい設定ファイルだ・・・

# wc -l /etc/snort/snort.conf
688 /etc/snort/snort.conf
# ls /etc/snort/
classification.config  reference.config       snort.conf             unicode.map
gen-msg.map            rules/                 threshold.conf

長いなぁと言っても全部修正が必要という訳ではないでしょうし、Step1から順番に見ていきましょう。

confファイルは参考サイトに習いながら進めます。

# vi /etc/snort/snort.conf
# Setup the network addresses you are protecting
 -ipvar HOME_NET any
 +#ipvar HOME_NET any
 +ipvar HOME_NET 192.168.0.0/24
# Set up the external network addresses. Leave as "any" in most situations
 -ipvar EXTERNAL_NET any
 +#ipvar EXTERNAL_NET any
 +ipvar EXTERNAL_NET !$HOME_NET
# どんだけー。
# List of ports you run web servers on
 #portvar HTTP_PORTS [80,81,311,383,591,593,901,1220,1414,1741,1830,2301,2381,2809,3037,3128,3702    ,4343,4848,5250,6988,7000,7001,7144,7145,7510,7777,7779,8000,8008,8014,8028,8080,8085,8088,8090,    8118,8123,8180,8181,8243,8280,8300,8800,8888,8899,9000,9060,9080,9090,9091,9443,9999,11371,34443    ,34444,41080,50002,55555]
 portvar HTTP_PORTS 80
# Linux版を落としたはずだけど、Windowsらしい。
286 #preprocessor stream5_tcp: policy windows, detect_anomalies, require_3whs 180, \
287 preprocessor stream5_tcp: policy linux, detect_anomalies, require_3whs 180, \
コードページ1252:ラテン から コートページ932:Shift-jisに変更と思われ。
301 # preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth 65535 decomp    ress_depth 65535
302 preprocessor http_inspect: global iis_unicode_map unicode.map 932 compress_depth 65535 decompres    s_depth 65535

続いてsysconfig直下

コメントアウトしてDBへ出力するようにする。

#ALERTMODE=fast

 ではではBarnyard2とやらを入れてみようか

# git clone https://github.com/firnsy/barnyard2.git
Initialized empty Git repository in /usr/local/src/barnyard2/.git/
remote: Counting objects: 1071, done.
remote: Total 1071 (delta 0), reused 0 (delta 0)
Receiving objects: 100% (1071/1071), 1.02 MiB | 271 KiB/s, done.
Resolving deltas: 100% (690/690), done.
# cd barnyard2
# ./autogen.sh

You can now run "./configure" and then "make".

デフォルトのはず

# mysql -V
mysql  Ver 14.14 Distrib 5.1.73, for redhat-linux-gnu (x86_64) using readline 5.1
# whereis mysql
mysql: /usr/bin/mysql /usr/lib64/mysql /usr/include/mysql /usr/share/mysql /usr/share/man/man1/mysql.1.gz

なので

./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql/
make && make install

設定ファイルをコピーします。

# cp etc/barnyard2.conf /etc/snort

変更するところは以下

# vi /etc/snort/barnyard2.conf
348 #   output database: log, mysql, user=root password=test dbname=db host=localhost
349 output database: log, mysql, user=snort password=snort dbname=snort_log host=localhost

起動スクリプトと設定ファイルをもういっちょ。

cd /usr/local/src/barnyard2/rpm
# install -m0755 barnyard2 /etc/rc.d/init.d/barnyrad2
# ls -l /etc/rc.d/init.d/barnyrad2
-rwxr-xr-x. 1 root root 1748 10月 31 01:01 2014 /etc/rc.d/init.d/barnyrad2
# install -m0644 barnyard2.config /etc/sysconfig/barnyrad2
# ls -l /etc/sysconfig/barnyrad2
-rw-r--r--. 1 root root 248 10月 31 01:01 2014 /etc/sysconfig/barnyrad2

データベースはこの方法で。

# locate barnyard2 | grep create_mysql
/usr/local/src/barnyard2/schemas/create_mysql
mysql> grant INSERT,SELECT on snort_log.* to snort@localhost;
Query OK, 0 rows affected (0.01 sec)
# mysql -u root snort_log < create_mysql

テーブルが出来たかチェック。

mysql> show tables;
+---------------------+
| Tables_in_snort_log |
+---------------------+
| data                |
| detail              |
| encoding            |
| event               |
| icmphdr             |
| iphdr               |
| opt                 |
| reference           |
| reference_system    |
| schema              |
| sensor              |
| sig_class           |
| sig_reference       |
| signature           |
| tcphdr              |
| udphdr              |
+---------------------+
16 rows in set (0.00 sec)

では動かしてみます。

失敗(*´ω`)

Oct 31 01:06:39 "01 snort[10324]: FATAL ERROR: /etc/snort/snort.conf(256) Could not stat dynamic module path "/usr/local/lib/snort_dynamicrules": No such file or directory.#012
# mkdir -p /usr/local/lib/snort_dynamicrules
# chown -R snort:snort /usr/local/lib/snort_dynamicrules
# chmod -R 700 /usr/local/lib/snort_dynamicrules

では動かしてみます。

失敗(*´ω`)

Oct 31 01:10:44 "01 snort[10782]: FATAL ERROR: /etc/snort//etc/snort/rules/local.rules(0) Unable to open rules file "/etc/snort//etc/snort/rules/local.rules": No such file or directory.#012
# cp -p  /etc/snort/rules/community.rules /etc/snort/rules/local.rules

では動かしtmiahfdal

失敗(*´ω`)

Oct 31 01:15:01 "01 snort[11205]: FATAL ERROR: /etc/snort//etc/snort/rules/app-detect.rules(0) Unable to open rules file "/etc/snort//etc/snort/rules/app-detect.rules": No such file or directory.#012

ギギギ。localrulesをすべてコメントアウトしました。

その他、編集箇所

# vi /etc/sysconfig/snort
# LOGDIR=/var/log/snort
# vi /etc/snort/barnyard2.conf

54 #config logdir: /tmp
55 config logdir: /var/log/snort_log
71 #config hostname:   thor
72 #config interface:  eth0
73 config hostname:   localhost
74 config interface:  eth0
# mkdir /var/log/snort_log
# chmod 666 /var/log/snort_log
# chmod 666 /var/log/snort_log
# touch /var/log/snort/snort_log.waldo

よく見ると参考サイトにもこの辺のことは書いてありました。
マニュアルは良く読もうな(´・ω・`)

# touch /etc/snort/rules/white_list.rules
# touch /etc/snort/rules/brack_list.rules
515    #whitelist $WHITE_LIST_PATH/white_list.rules,
516    #blacklist $BLACK_LIST_PATH/black_list.rules
517    whitelist /etc/snort/rules/white_list.rules, \
518    blacklist /etc/snort/rules//black_list.rules
DBを作り直して終わりました。
# mysql -D snort -u root < /usr/local/src/barnyard2/schemas/create_mysql
# ./barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f merged.log -w /var/log/snort/barnyard2.waldo
 Running in Continuous mode
--== Initializing Barnyard2 ==--
 Initializing Input Plugins!
 Initializing Output Plugins!
 Parsing config file "/etc/snort/barnyard2.conf"
+[ Signature Suppress list ]+
 ----------------------------
 +[No entry in Signature Suppress List]+
 ----------------------------
 +[ Signature Suppress list ]+
Barnyard2 spooler: Event cache size set to [2048]
 Log directory = /var/log/barnyard2
 INFO database: Defaulting Reconnect/Transaction Error limit to 10
 INFO database: Defaulting Reconnect sleep time to 5 second
 [ClassificationPullDataStore()]: No Classification found in database ...
 [SignaturePullDataStore()]: No signature found in database ...
--== Initialization Complete ==--
 ______   -*> Barnyard2 <*-
 / ,,_  \  Version 2.1.13 (Build 327)
 |o"  )~|  By Ian Firns (SecurixLive): http://www.securixlive.com/
 + '''' +  (C) Copyright 2008-2013 Ian Firns <firnsy@securixlive.com>
WARNING: Ignoring corrupt/truncated waldofile '/var/log/snort/barnyard2.waldo'
 Waiting for new spool file

動いた~と思ったら別の意味で動かなくなる・・・
スクリプトでデーモンでの起動ができないらしい。

# service barnyard2 start
Snort Output Processor (barnyard2) を起動中: /bin/bash: barnyard2: コマンドが見つかりません
                                                           [失敗]
# whereis barnyard2
barnyard2: /usr/local/bin/barnyard2 /usr/local/etc/barnyard2.conf
# vi /etc/init.d/barnyard2

起動スクリプトをいじってもうまくいかない・・・
いじってたらエラーの吐き方もおかしくなってしまったので治しようがなくなっちった。

もう1回! Barnyard2とやらを入れてみようか

結論を言うと、最後は起動スクリプトを修正して上手くいったのでした。
(*´ω`)

参考サイト
The Hacker Chronicles
Snort, Barnyard2, Snorby and PulledPork Install on CentOS 6.5

# mkdir cd /usr/local/src/snort
# cd /usr/local/src/snort
# git clone https://github.com/firnsy/barnyard2.git barnyard2
Initialized empty Git repository in /usr/local/src/snort/barnyard2/.git/
remote: Counting objects: 1071, done.
remote: Total 1071 (delta 0), reused 0 (delta 0)
Receiving objects: 100% (1071/1071), 1.02 MiB | 389 KiB/s, done.
Resolving deltas: 100% (690/690), done.
# cd barnyard2
./autogen.sh
# ./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql
make && make install
# cp rpm/barnyard2 /etc/init.d/
cp: `/etc/init.d/barnyard2' を上書きしてもよろしいですか(yes/no)? yes
#
# chmod +x /etc/init.d/barnyard2
# cp rpm/barnyard2.config /etc/sysconfig/barnyard2
cp: `/etc/sysconfig/barnyard2' を上書きしてもよろしいですか(yes/no)?
# cp rpm/barnyard2.config /etc/sysconfig/barnyard2
cp: `/etc/sysconfig/barnyard2' を上書きしてもよろしいですか(yes/no)? yes
#

ちょと端折ってますが、ほぼほぼ参考サイトの通りで、他にさっき書いたとおり、snortのパスとbarnyard2の起動スクリプトのオプションを少しいじりますた。
んで、やっと通ったようです。やれやれだよ。

#BARNYARD_OPTS="-D -c $CONF -d $SNORTDIR/${INT} -w $WALDO_FILE -L $SNORTDIR/${INT} -a $ARCHIVEDIR -f $LOG_FILE -X $PIDFILE $EXTRA_ARGS"
BARNYARD_OPTS="-D -c /etc/snort/barnyard2.conf -d /var/log/snort -f merged.log -w /var/log/snort/barnyard2.waldo -l $SNORTDIR/${INT} -a $ARCHIVEDIR -f $LOG_FILE -X $PIDFILE $EXTRA_ARGS"
daemon $prog $BARNYARD_OPTS
snort を起動中: Spawning daemon child...
My daemon child 7710 lives...
Daemon parent exiting (0)
                                                           [  OK  ]
# service barnyard2 start
Snort Output Processor (barnyard2) を起動中:               [  OK  ]

テストで動かしてたICMPのログが蓄積されていたので問題ないようだ。

ではcommunity.rulesを登録してリスタートしよう。

# vi /etc/snort/snort.conf
include $RULE_PATH/community.rules

# service barnyard2 restart
Snort Output Processor (barnyard2) を停止中:               [  OK  ]
Snort Output Processor (barnyard2) を起動中:               [  OK  ]
# service snortd restart
snort を停止中:                                            [  OK  ]
snort を起動中: Spawning daemon child...
My daemon child 9381 lives...
Daemon parent exiting (0)
                                                           [  OK  ]

ちゃんと動いているようです。

** ORIGINAL DATAGRAM DUMP:
117.41.229.139:7971 -> 133.242.178.136:9200
TCP TTL:110 TOS:0x0 ID:256 IpLen:20 DgmLen:40
Seq: 0x1E230000
(12 more bytes of original packet)
** END OF DUMP

MyIsamでできていた(´・ω・`)
そういえば、テーブルの作成は付属のスクリプトだったなぁ。

mysql> show table status;
+------------------+--------+---------+------------+------+----------------+-------------+------------------+--------------+-----------+----------------+---------------------+---------------------+------------+-----------------+----------+----------------+---------+
| Name             | Engine | Version | Row_format | Rows | Avg_row_length | Data_length | Max_data_length  | Index_length | Data_free | Auto_increment | Create_time         | Update_time         | Check_time | Collation       | Checksum | Create_options | Comment |
+------------------+--------+---------+------------+------+----------------+-------------+------------------+--------------+-----------+----------------+---------------------+---------------------+------------+-----------------+----------+----------------+---------+
| data             | MyISAM |      10 | Dynamic    |    0 |              0 |           0 |  281474976710655 |         1024 |         0 |           NULL | 2014-10-31 02:45:48 | 2014-10-31 02:45:48 | NULL       | utf8_general_ci |     NULL |                |         |
| detail           | MyISAM |      10 | Dynamic    |    2 |             20 |          40 |  281474976710655 |         2048 |         0 |           NULL | 2014-10-31 02:45:48 | 2014-10-31 02:45:48 | NULL       | utf8_general_ci |     NULL |                |         |
| encoding

デフォルトではMyIsamなのか。まぁ、いいか。

 

Similar Posts:


Leave a Reply

Your email address will not be published. Required fields are marked *