このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

snortのルール設定について このメッセージに返信する
日時: 2011/10/06 02:53
名前: su
URL:
現在、snortでルートログインを検知のルールを作成しているのですが、うまくいきません。
telnetを使用して、rootが入力されたらアラートが出るようにしたいのですが、
どうしたらいいのでしょうか?

現在の設定は、
alert tcp any any -> $HOME_NET any (msg:"root login"; content:"root";)

となっています。
wiresharkでパケットをキャプチャした際、文字列のrootが 
"r" "o" "o" "t"
と、別々のパケットで送られていることがわかったため、
複数のパケットの文字データを連結して、
それがrootの場合にアラート作成をすればいいのかなと考えているのですが、
そのためのルールの設定がわかりません。
どなたかご教授していただける方、よろしくお願いします。
記事編集 編集
Re: snortのルール設定について このメッセージに返信する
日時: 2011/10/06 10:30
名前: stranger
URL: http://ja.528p.com/
最新のruleがあるので参考に
http://cvs.snort.org/viewcvs.cgi/snort/rules/

telnet.rulesを読む
記事編集 編集
Re: snortのルール設定について このメッセージに返信する
日時: 2011/10/06 21:58
名前: su
URL:
返信ありがとうございます。

その設定は既に参考にして、試しましたが動きませんでした。

alert tcp $TELNET_SERVERS 23 -> $EXTERNAL_NET any (msg:"TELNET root login"; flow:from_server,established; content:"login|3A| root"; classtype:suspicious-login; sid:719; rev:7;)

の部分です。

私の理解が正しければ、このルールはtelnetのログインの際にlogin: rootが入力されたら、
alert作成をする、というものだと思うのですが、このルールをそのままコピペで適用しても動きませんでした。

パケットをキャプチャして、ログインの中のコンテントを覗いてみたところ
login: root
がペイロードに入っていないようですので、何か別の制御が必要だと思うのですが…。
記事編集 編集
Re: snortのルール設定について このメッセージに返信する
日時: 2011/10/07 05:12
名前: stranger
URL: http://ja.528p.com/
最新のruleセットをダウンロードして
snort.confで読み込むのがマナーのようですが、
たぶんruleは/etc/snort/rulesにおかれる?
それでうまくいかないなら、すみませんが、わたしにはよくわかりません
記事編集 編集
Re: snortのルール設定について このメッセージに返信する
日時: 2011/10/07 05:43
名前: su
URL:
朝早くありがとうございます。

現状、snort.confからの読み込みは問題ありません。
最新のルールをそのまま適用してもそれが上手く機能していないようです。
ルール自体が間違っているとは考えにくいのでsnort.confのファイルの設定をいじくってみる必要があるのかもしれません。

私もこの設定に長く時間をさけないのでひとまず解決済みにしておきます。
答えてくださって本当にありがとうございました。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -