VirtualBox+Ubuntu+Snort
■ VirtualBoxにUbuntuをインストールする
参考サイト
https://qiita.com/ykawakami/items/4bae371932110b2e25e3
isoイメージをダウンロード
http://releases.ubuntu.com/cosmic/ubuntu-18.10-desktop-amd64.iso
□ VBoxのネットワーク設定でNATネットワークを使用したいので、
VBoxの ファイル→環境設定→ネットワーク→+ボタン からネットワークを追加しておく
□ snortを使用する際、他の仮想マシンのパケットを監視したいため、VBoxのネットワーク設定を「NATネットワーク」に設定
(OWASP BWAのネットワーク設定も、NATネットワーク「NatNetwork」にしておく)
■ ホストからSSHで接続する設定
□ VBox上のUbuntuにsshをインストールする
# sudo apt-get install openssh-server
□ VBox上のUbuntuのネットワーク設定「アダプタ2」を「ホストオンリーアダプタ」に設定
□ #ip addr コマンドで、enp0s8が立ち上がっていることを確認する
enp0s8のIPアドレスを確認
→ Tera term等からsshで接続
□ enp0s8のIPアドレスを固定する
# nmtui
→ GUIに従って設定。エラーが出る場合はsudo nmtui
■ VirtualBoxのUbuntuにSnortを入れる
□ apt-getで入れてみる
# sudo apt-get install snort
□ snortバージョン確認
# snort -V
□ ルールを追加するためのファイルを作成する
ファイル名を「test01.rules」とする
→ # touch /etc/snort/rules/test01.rules
□ /etc/snort/snort.confに「test01.rules」をincludeする設定を書き込む
include $RULE_PATH/test01.rules
□ localに対するpingを検知する設定を作成
「/etc/snort/rules/test.rules」に以下の内容を記述
alert icmp any any -> any any (msg:”ICMP_detection”; classtype:bad-unknown; priority:6; sid:1000000;)
この内容の各項目の解説は下記サイトを参照のこと
http://gokaxtukei.hatenablog.com/entry/2015/12/20/Snort_%E3%83%AB%E3%83%BC%E3%83%AB%E3%81%AE%E4%BD%9C%E3%82%8A%E6%96%B9%EF%BC%88very_easy%EF%BC%89
http://gokaxtukei.hatenablog.com/entry/2015/12/30/%E3%80%90Snort%E3%80%91%E3%83%AB%E3%83%BC%E3%83%AB%E3%81%AE%E5%8D%B1%E9%99%BA%E5%BA%A6%E8%A8%AD%E5%AE%9A/Classification%E3%81%A8%E3%81%AF
https://mag.osdn.jp/03/06/20/0225228
SIDはSnort IDの略で、ルールの識別番号を示す
snortからダウンロードするルールは30000以上まで使ってるので競合しないように1000000を使用する
□ Snortを再起動する
# systemctl restart snort
参考サイト
http://www.cs.tohoku-gakuin.ac.jp/~otofuji/atmarkit/Lnx-Security/pA-1.html
# snort -v -c /etc/snort/snort.conf
□ Ubuntu に対してpingを打ってみる
# ping サーバのIPアドレス
□ /var/log/snort/配下にログが出力されいてることを確認
# ls -la /var/log/snort/
→ snort.log
□ Snortのログをsyslogで吐き出すように設定する
# vim /etc/snort/snort.conf
→ 初期の記述:output alert_syslog: LOG_AUTH LOG_ALERT
書き換え:output alert_syslog: LOG_LOCAL0
# vim /etc/rsyslog.conf
→ 追記:local0.* /var/log/snort.log
# systemctl restart snort
# /etc/init.d/syslog restart
これで/var/log/snort.logにsnortのログが吐き出されるようになる
□ logを取得してみる
# snort -v -c /etc/snort/snort.conf
ホストOSから「ping ゲストOSのIP」を実行してみる
# vim /var/log/snort.log
→ Nov 4 12:05:24 ubuntu-snort snort[1752]: [1:1000000:0] ”ICMP_detection” {ICMP} ホストOSのIP -> ゲストOSのIP
VirtualBoxでOWASP BWA と Ubuntu を同じNATネットワーク内に置いたため、snortはOWASP BWAのパケットも監視する
