サイバー・ソリューションズでは,オープンソースなネットワーク侵入検知システムSnort™ に対するSNMPアウトプットプラグインに関して積極的に貢献を行ってまいりました。その成果としてSNMPアウトプットプラグインをパッチの形状で公開しています。
SnortSnmp 最新バージョン
◆2.9.3.1-03の変更点
a. snort.confのsnmp_trapパラメタに、"-s "を加えました。 ここで設定したIPアドレス情報は、SNMPトラップ通知情報中のセンサーアドレスに設定されます。本設定を省略した場合は NULL値 が通知されます。
◆2.9.3.1-02の変更点
a. -DINET6 が与えられた時のバグを修正しました。
◆2.9.3.1-01の変更点。
a. snort-2.9.3.1に対応しました。
その他のバージョン
最新版のpatchの適用は次で確認しています。
- Red Hat Enterprise Linux ES release 4
- snort-2.9.3.1
- net-snmp-2.7
SnortSnmpインストール手順
1. Introduction
SNMPアウトプットプラグインにより,snortはネットワーク管理システム(NMS)へのアラート通知をSNMP trap(ackを必要としない形式)/inform(ackを必要とする形式)により行えることができます。この機能によりsnortをセンサとして既存のネットワーク管理システム(NMS)へ統合可能です。
2. Requirements
SNMPアウトプットプラグインをコンパイルするためには, net-snmpのライブラリおよびヘッダファイルが必要です。 事前にnet-snmpをインストールしてください。 パッケージはURLhttp://net-snmp.sourceforge.netより入手できます。
3. Activation Steps
ここでは,snort-2.9.3.1を例にして話を進めていきます。
他のバージョンの場合はバージョン名を読みかえてください。
まずパッチパッケージSnortSnmpMod-2.9.3.1-01.tgzを展開します。
$ tar xvzf SnortSnmpMod-2.9.3.1-01.tgz
このときディレクトリSnortSnmpMod-2.9.3.1-01の下にREADME.SNMP.txtとパッチファイルSnortSnmp-2.9.3.1-01.gzが作成されます。
次に以下の手順でSnortSnmp-2.9.3.1-01.gzをsnort-2.9.3.1のソースコードに適応し,パッケージを構築します。
README.SNMPも参照してください。
$ tar xvzf snort-2.9.3.1.tar.gz
$ zcat <somewhere>/SnortSnmp-2.9.3.1-01.gz | patch -p0
$ cd snort-2.9.3.1
$ ./configure
$ make
$ sudo make install
NOTE:
snort.confファイルを編集します。
snort.conf内にSNMPアウトプットプラグインに関する設定を記述する必要があります。パッチに含まれるsnort.confに一例を記載しております。
例
# The parameters for the SnmpTrap plugin module are
# alert, <SENSORID> {trap|inform} -v <SNMPVERSION> -c <COMMUNITY>
# <HOSTNAME>:<PORTNUMBER>
output trap_snmp: alert, 7, trap -v 2c -c myCommunity myTrapListener:162
Note.
SNMPv1 trapはサポートしていません。
SNMPv2cおよびSNMPv3を利用してください。
snort.confに記述するSNMP関連パラメータはnet-snmpのパラメータとほぼ同一です。他のパラメータに関する情報は snmptrapd のマニュアルページを参照してください。
最後に,SnmpTrapListenrがsnort.confで指定したホスト,ポート番号上で起動しているか確認してください。
受信したアラートをコンソール上に出力するsnmptrapd の起動方法の例は以下の通りです。
snmptrapd -P -p <PORTNUMBER> (ucd-snmp)
snmptrapd -f -Le udp:162 (net-snmp)
以上で設定は終了です。Snortを起動してください。
※弊社ではSnortSnmpに関するサポートのご提供はお受けしておりませんのでご了承ください。