Bleeding Snort Rulesets

更新履歴

2006/06/08　初版
- Author kikuzou

概要

Bleeding Edge of Snort (http://www.bleedingsnort.com/) で公開されているSnortのルールを追加する。
頻繁にシグネチャの更新が行われている。
大量のシグネチャが登録されているため、すべて有効にすると頻繁にアラートがあがるのでカスタマイズが必要。

バージョン

Oinkmaster 2.0
Snort 2.4.5

インストール環境

CentOS 4.3

前提条件

Snortが正常に動作していること
Oinkmasterが正常に動作していること
- Oinkmaster (ルール自動アップデート) の手順でインストールされていること

参考URL

Bleeding Edge of Snort (http://www.bleedingsnort.com/)
- Using Bleedingsnort Rules for the Impatient

インストール手順

Oinkmasterの追加設定

Oinkmasterの「Bleeding Snort Rulesets」用設定ファイルを作成する。

# cd /usr/local/oinkmaster/
# cp -p oinkmaster.conf oinkmaster-bleedingsnort.conf
# vi oinkmaster-bleedingsnort.conf

url を以下に変更

url = http://www.bleedingsnort.com/bleeding.rules.tar.gz

#

Snortの設定ファイルの修正

Snortの設定ファイル「snort.conf」に「Bleeding Snort Rulesets」用の設定を追加する。
- 「bleeding.conf」には、BleedingSnortルール用の環境変数(SSH_PORTS等)が設定されているので必ずインクルードすること。

# vi /etc/snort/snort.conf

/etc/snort/snort.conf

以下を追加

# bleedingsnort rules
include $RULE_PATH/bleeding.conf
include $RULE_PATH/bleeding-attack_response.rules
include $RULE_PATH/bleeding-dos.rules
include $RULE_PATH/bleeding-drop.rules
include $RULE_PATH/bleeding-dshield.rules
include $RULE_PATH/bleeding-exploit.rules
include $RULE_PATH/bleeding-game.rules
include $RULE_PATH/bleeding-inappropriate.rules
include $RULE_PATH/bleeding-malware.rules
include $RULE_PATH/bleeding-p2p.rules
include $RULE_PATH/bleeding-policy.rules
include $RULE_PATH/bleeding-scan.rules
include $RULE_PATH/bleeding-virus.rules
include $RULE_PATH/bleeding-web.rules
include $RULE_PATH/bleeding.rules
#include $RULE_PATH/bleeding-drop-BLOCK.rules
#include $RULE_PATH/bleeding-dshield-BLOCK.rules

Oinkmasterの実行

VRTルールアップデート用スクリプトに BleedingSnortルールアップデート処理を追加する。
アップデートスクリプト実行時にメッセージが必ず表示されてしまうのでcronの設定を変更する。
設定完了後、アップデートスクリプトを実行して、snortを再起動する。

# vi /usr/local/oinkmaster/rule-update

/usr/local/oinkmaster/rule-update

#!/bin/sh
OINKDIR="/usr/local/oinkmaster"
RULEDIR="/etc/snort/rules"

## VRT Rule
$OINKDIR/oinkmaster.pl -o $RULEDIR -C $OINKDIR/oinkmaster.conf -b /etc/snort/rules/Backup -Q
chown -R snort:snort /etc/snort/

## Bleedingsnort
$OINKDIR/oinkmaster.pl -o $RULEDIR -C $OINKDIR/oinkmaster-bleedingsnort.conf -b /etc/snort/rules/Backup -Q
cd $RULEDIR
/bin/cp sid-msg.map sid-msg.map.orig
/bin/cat bleeding-sid-msg.map sid-msg.map.orig | sort -u > sid-msg.map
chown -R snort:snort /etc/snort/

# crontab -e

5 0 * * * /usr/local/oinkmaster/rule-update >/dev/null 2>&1

#
# /usr/local/oinkmaster/rule-update
# /etc/init.d/snort restart
Stopping snort                                             [  OK  ]
Starting snort                                             [  OK  ]
#