BASEとSnortによる侵入検知

このチュートリアルでは、Debian SargeシステムにBASE（Basic Analysis and Security Engine）とSnort侵入検知システム（IDS）をインストールおよび構成する方法を示します。BASEは、Snort IDSシステムからのアラートを照会および分析するためのWebフロントエンドを提供します。BASEを使用すると、Snortがネットワーク上で検出した侵入の分析を行うことができます。

シナリオ：Falkoの - The Perfect Setup - Debian Sarge (3.1) に従ってセットアップされたDebian Sarge 3.1を実行しているLinuxサーバー。
稼働中のウェブサイト（www.example.com）があり、ドキュメントルートは次のとおりです：/var/www/www.example.com/web
サーバーのIPは192.168.0.5で、ネットワークインターフェース名はeth0を使用しています。

必要なプログラムとファイル

Snort
Snortルール
PCRE（Perl互換正規表現）
LIBPCAP
BASE（Basic Analysis and Security Engine）
ADOdb（PHP（およびPython）のためのADOdbデータベース抽象ライブラリ）

ダウンロードと解凍

ダウンロードして解凍するすべてのファイルのための一時的な場所が必要です。
簡単にするために、/rootにsnorttempというディレクトリを作成します。（このダウンロードディレクトリは任意の名前で、任意の場所に作成できます）

cd /root
mkdir snorttemp
cd snorttemp

次に、Snortを取得する必要があります。
執筆時点での最新バージョンは2.6.0です。

wget http://www.snort.org/dl/current/snort-2.6.0.tar.gz

ダウンロードが完了したら、ファイルを解凍します：

tar -xvzf snort-2.6.0.tar.gz

そしてtarファイルを削除します：

rm snort-2.6.0.tar.gz

Snortルールも必要です！
次のリンクに移動します：http://www.snort.org/pub-bin/downloads.cgi
「Sourcefire VRT Certified Rules - The Official Snort Ruleset (unregistered user release)」ルールが表示されるまでスクロールします
（フォーラムのメンバーであれば、- registered user releaseもダウンロードできます）：

wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

snortrules-pr-2.4.tar.gzをsnort-2.6.0マップに移動します：

mv snortrules-pr-2.4.tar.gz /root/snorttemp/snort-2.6.0

そしてsnort-2.6.0にcdします：

cd snort-2.6.0

snortrules-pr-2.4.tar.gzファイルを解凍します：

tar -xvzf snortrules-pr-2.4.tar.gz

tarファイルを削除します：

rm snortrules-pr-2.4.tar.gz

Snortを動作させるために必要なファイルのダウンロードが完了しました。
BASEと連携させるために、さらに必要です！

PCRE - Perl互換正規表現。

次のリンクに移動します：http://www.pcre.org/
pcre-6.3tar.gzファイルのダウンロードリンクを選択してPCREをダウンロードします（執筆時点ではpcre-6.3.tar.gzです）
snorttempマップに戻ります：

cd /root/snorttemp

そしてpcre-6.3.tar.gzファイルをダウンロードします：

wget http://surfnet.dl.sourceforge.net/sourceforge/pcre/pcre-6.3.tar.gz

ファイルを解凍します：

tar -xvzf pcre-6.3.tar.gz

tarを削除します：

rm pcre-6.3.tar.gz