ラズパイ日誌_その07

皆さん
お疲れサマンサ!

今回は、前回からの続きで、ラズパイにSnortを導入します!

もちろん一人の知識でできるものではなさそうなので、先人たちの知恵をお借りしましょう!

【参考サイト1】
Snort インストール

【参考サイト2】
RAPIT7 Blog

上記の参考サイトのいいとこどりをしながら、ラズパイにSnortを入れていきましょう。

では、最初からやっていきます。
前回までで、とりあえずミラー通信をラズパイに流すまでは出来ていますので、
この通信をSnortで監視してアレな感じのものが流れてきたらログに書かれるので、それをどこかに通知する感じにしましょう。

参考サイト1から少し古いルール(30日前のルール)を取得するには、ユーザ登録が必要なことを知りましたので、ユーザ登録をします。

参考サイト1を参考に、snortのグループとユーザを作成し、
ログ出力ディレクトリを作成しましょう。

参考サイト2から必要なソフトが分かるので、インストールしていきます。

※OpenSSLはインストール済みなので外しました。

どちらのサイトでも次のステップで、snortをインストールしているので、
snortをサイトからダウンロードしてインストールしましょう。

Snort Download

daq

snort

正常にインストールが完了していると「snort -V」の実行でブタさんが表示される

参考サイト1の通りに、いい感じに設定を進めていくと、起動のところで詰まりましたw
どうやらラズパイ君は、アラート出力設定をしていると設定ファイルパスを最後に指定しないと、起動に失敗するっぽい・・・
というより設定ファイルより後ろもファイルとして認識してる・・・?

なので、起動コマンドは以下のように変更する

変更前

変更後

起動用サービスも上記のように変更して「enable」しましょう。

起動するとアラートが上がるはずです!w
私の環境では、フィルタリングと相まってガンガンアラートを吐きますw
元気なブタさんですねー・・・w
今後ルールの整理をしよう・・・。

参考サイト1では、ルールファイルの自動更新の手順も完備されていますので、
これもインストールしておきましょう。

distro部分は、、、ラズパイが何に該当するのか不明ですが、
「Ubuntu-14-04」あたりでいいでしょうw
現に動いてますし。・・・WARNはいっぱい吐くけどね。w

アラート解析のコードも参考にして設定しましょう。

ここまででSnortがいい感じに起動しているので、参考は終わりにして、
次はどこかに通知するようにしましょう。

メールをこのためだけに使うのもあれなので443ポートで書き込めるSlackにPOSTしましょう。
コードは、今流行りのpythonで書きまっす。

postする内容は、アラート解析で出力されるhtmlファイルを書き込みます。

あまり行数がないので、そのまま記載しますー。
とりあえず、動くだけのコードですw

これでひとまずSlackに書き込まれます。
実際htmlファイルの内容をただ貼っただけでスクレイピングができていないので後でキレイにします。
また、これでは前回書き込みとの差分などについては考えていないのでそのあたりも改善していこうかと思いますー。

いい感じにsnortがNIDSが動いているので、また一つ安全になりました!
スクレイピングとかはまたの機会に書くかもしれませんー。

でゎでゎ、ヨロコ

About the author

samantha

Add Comment

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

By samantha

最近の投稿

アーカイブ

カテゴリー

タグクラウド

コーポレートサイト