install alert notification script for Snort

Snortによる不正侵入行為の検知結果の通知方法 (1)

snort_stat.plを用いた検知結果のE-mailによる"通知"

Snort

検知結果を「見る/調査する」という点では、acidやsnortsnarfといった HTMLベースのツールがありますが、これらはユーザ(システム管理者)がそのツールで作成されたWebを"能動的"かつ定期的に見なければいけません。そういう意味では「通知」とは言えないんですね。実際に運用していたとしても、ついつい見なくなってしまいます(それが人間というもの...?)。

ここではsnortが出力するalertログを集計、整形してE-mailで通知することのできる
snort_stat.plというPerlスクリプトについて紹介します。

何をするものなの?

snort_stat.plとは名前の通りalertログをparseし、E-mailでその結果を通知することのできるPerlで書かれたスクリプトです。通知例は以下のようになります

通知E-mailの例

これをcron等の仕組みを使って定期的に実行すれば、「検知後、即座に通知」とはいきませんが、定期的にalertログの内容を通知することができます。

(もちろんalertログの内容が正確であることが前提になっています。
ログが悪意をもって改ざんされてしまえば、その通知結果も意味のないものになります)

取得方法

以下のURLから取得できます。ファイル名は"snort_stat.pl"です

Snort - Data Analysis Tool

余談: acidやsnortsnarfもここから取得できます

snort_stat.plが，perl version 5.8.8では動作しないことが発覚! (2008/05/20)
Codeを若干修正する必要があります．とはいってもprint文の修正なので難しいことではないです．

インストール方法 / 使い方

ファイルをインストール

極論すると、そのsnort_stat.plはどのディレクトリにインストールしてもかまいません。
publicなディレクトリがいいなら/usr/sbinとか/usr/local/sbin, /usr/local/bin が適当でしょうか? 自分の環境に合わせて適切なところにインストールしてください。無論、個人のディレクトリ配下でも問題ありません。

試しに実行してみよう

以下のように実行してみてください。たとえば以下のように入力します
注意: 実行する際にはalertログを読める権限を持つユーザで行ってください。

% /usr/local/sbin/snort_stat.pl /var/log/snort/alert(alertログ)

すると上の"通知E-mail"と同じような表示結果が画面に表示されるはずです。

この結果は標準出力に出力されているので、パイプを使ってsendmailに渡すことで E-mailを送るようにしておけば、E-mailによる通知システムが完成します。 sendmailが存在するならば以下のようにすればいいでしょう。

% /usr/local/sbin/snort_stat.pl /var/log/snort/alert | /usr/lib/sendmail "通知先E-mail address"

注意: ただしsendmailの設定はされているものとします

実行オプション

5つほどあります。
"-r"や"-h"などは便利かと思われます

-d: デバッグ用
-r: IPアドレスをホスト名に変換する
-f: 表示出力幅を固定する (幅が指定できないみたい未調査)
-h: html形式で出力する
-r: しきい値 (なんの? 未調査)

なお、これらのオプションの記述はsnort_stat.pl内に記述されていたものです。
またスクリプト言語ゆえにPerl言語がわかれば、カスタマイズも容易ですね。
(ただし著作権等の問題については未調査。ただし公開されているので、そのまま使用する限りは問題ないと思われます。)

定期的に実行しよう

いちいち実行するのは面倒だし、絶対に実行しなくなるので、計算機が自動で定期的に実行するように設定しましょう。
この設定で、どのくらいの時間間隔で実行するかを自身で自由に決定することができます。さ、cronの出番です。 cronを使ったことのない人はマニュアルを読んでください。この設定でユーザが使うのはcrontabコマンドですね。

またログのローテーションの意味も持たせて、日に一度snortを再起動するという方法もあります。以下のような起動/停止スクリプトを作成し、日に一度cronで実行するというのもいいかと思います。以下のshell scriptはRed Hat 7.2での起動/停止用スクリプト(/etc/init.d/snort)のサンプルです

download (file名はsnort_updown.sh.txtとなっている)

#!/bin/bash
#
# Starts / Stops snort
#
# Source function library.
. /etc/init.d/functions

[ -f /usr/local/bin/snort ] || exit 0
[ -f /usr/local/etc/snort/snort.conf ] || exit 0

# Option
SNORT_OPTIONS="-Dd -A full -u snort -g snort -c /usr/local/etc/snort/snort.conf -i eth0 -l /var/log/snort"

RETVAL=0

umask 077

start() {
 	echo -n $"Starting snort: "
	daemon /usr/local/bin/snort $SNORT_OPTIONS
	RETVAL=$?
	echo
	return $RETVAL
}	

stop() {
	echo -n $"Shutting down snort: "
	killproc snort
	RETVAL=$?
	echo
	return $RETVAL
}

logrotate() {
	export LANG=C;
	DATESTR=`/bin/date +%b%d%Y-%H:%M`

	# send an alert email using snort_stat.pl
	/usr/local/etc/snort/snort_stat.pl -r /var/log/snort/alert | /usr/lib/sendmail "e-mail address"
	/usr/local/etc/snort/snort_stat.pl -r /var/log/snort/alert | /usr/lib/sendmail "e-mail address"

# rotate alert log
	/bin/mv /var/log/snort/alert /var/log/snort/backup/alert-${DATESTR}
	/bin/chown snort.snort /var/log/snort/backup/alert-${DATESTR}.gz
	/bin/chmod 0440 /var/log/snort/backup/alert-${DATESTR}.gz
	/bin/gzip /var/log/snort/backup/alert-${DATESTR} 

# rotate scan.log
	/bin/mv /var/log/snort/scan.log /var/log/snort/backup/scanlog-${DATESTR}
	/bin/chown snort.snort /var/log/snort/backup/scanlog-${DATESTR}.gz
	/bin/chmod 0440 /var/log/snort/backup/scanlog-${DATESTR}.gz
	/bin/gzip /var/log/snort/backup/scanlog-${DATESTR} 
}

# この一連の処理で通知ならびにログのローテーションを行う
# 欠点はログサイズが大きくなるとsnortが起動していない時間が長くなる。
restart() {
	stop
	logrotate
	start
}	

case "$1" in
  start)
  	start
	;;
  stop)
  	stop
	;;
  restart|reload)
  	restart
	;;
  *)
	echo $"Usage: $0 {start|stop|restart}"
	exit 1
esac

exit $?

Crontabのサンプル記述は以下の通り
以下の例では毎日10時に実行される

0       10      *       *       *       /etc/init.d/snort restart > /dev/null 2>&1

Netaro the web