IDScenterを起動します。
タスクトレイのアイコンをダブルクリックするか、右クリックでメニューを開き「 setting 」を選択して IDScenter の設定画面を表示します。
初期状態では [General]->[Configuration] パネルが表示されています。
Snort のバージョンを選択します。
今回使用する Snortは2.0.6 で、デフォルトの設定では Snort2.x なのでそのままでOKです。
「 Snort execution file 」に snort.exe のパスを設定します。
このドキュメントの通りに作業していれば「 D:\tools\Snort\bin\snort.exe 」となります。
「 Log folder 」にログファイルのパスを設定します。
デフォルトのファイル名は「 alert.ids 」となります。
「 alert.ids 」というファイルはインストール直後の状態では存在しません。
そのため、設定の前に log フォルダに空のファイルを作成しておく必要があります。
「 D:\tools\Snort\log 」フォルダに「 alert.ids 」という名前の空のファイルを作成して下さい。
その後、「 D:\tools\Snort\log\alert.ids 」と入力します。
または、右にある「 ... 」ボタンを押下してファイル選択ダイアログを開き、
「 D:\tools\Snort\log\alert.ids 」を選択して指定してもよいです。
ここで指定したファイルが存在しないとメニューの「 Apply 」ボタンを押下した際にエラーが出ます。
次に [General]->[Snort Options] パネルの設定を行います。
左側で「 Snort Options 」を選択します。
ここでは、「 snort.conf 」ファイルの場所を指定します。
右上の「 ... 」ボタンを押下して「 D:\tools\Snort\rules 」フォルダにある「 snort.conf 」ファイルを選択します。
ファイルを選択すると下に内容が表示されます。
次に [Wizards]->[Network variables] パネルの設定を行います。
左側で「 Winzards 」タブを選択して「 Network variables 」を選択します。
ここで最低限やらなければならない事は「 RULE_PATH 」の設定です。
初期値では「 ../rules 」と相対パスが指定されていますが、
相対パスのままだといくつか問題が発生するのでここは絶対パスを指定する必要があります。
変数リストから「 RULE_PATH 」を選択し、右側にある「 Edit variable 」ボタンを押下します。
画面下部に設定用のフィールドが表示されますので、
「 Single host/network/parameter 」のテキストボックスに「 rules 」フォルダのある場所を絶対パスで入力します。
ここでは「 D:\tools\Snort\rules 」と入力します。
入力したら右下にある「 Apply 」ボタンを押下して変数リストに値を反映させます。
次に [Wizards]->[Rules/Signatures] パネルの設定を行います。
左側で「 Rules/Signatures 」を選択します。
最初に余分なモノを削除します。
初期状態でリストに入っている「 classification.config 」と「 reference.config 」を削除します。
これらはファイル名だけでパスが含まれないため有効な設定ではないからです。
削除するには、リストで選択状態にしてから上にある「 Remove 」ボタンを押下します。
次は正しい設定を追加します。
まずは「 classification.config 」の設定です。
リストの上にあるテキストボックス右のボタン(「ファイルを開く」アイコン)を押下して「 D:\tools\Snort\rules 」フォルダにある「 classification.config 」を選択します。
テキストボックスに「 classification.config 」のパスが入った状態で上にある「 Add 」ボタンを押下します。
リスト最上段に追加されますのでそれを選択状態にします。
そして、リストの下にある「 Classification file 」枠の中の「 Select 」ボタンを押下します。
リストから先程追加した行が消えて「 Classification file 」にパスが表示されれば OK です。
次は「 reference.config 」の設定です。
このファイルも「 D:\tools\Snort\rules 」フォルダにありますので、上と同じ手順でリストに追加します。
こちらはリストに追加するだけでよいです。
以上の手順で作業を進めると、上記画面のようになります。
ここまで設定が終わったらメニューバーの右端にある「 Apply 」ボタンを押下して設定の変更を反映させます。
「 Apply 」ボタンを押さないと設定が反映されませんので忘れずに押して下さい。
これで起動に必要な設定は全て終わりました。
メニューバーの「 Test settings 」ボタンを押下して正しく設定されているか確認してみましょう。
コマンドプロンプトが開いて、色々な情報が表示されます。最後に
Snort sucessfully loaded all rules and checked all rule chains!
Snort exiting
と表示されていれば起動に必要な設定はできています。
エラーが出た場合、残念ながら何か設定が不足しているか間違っています。
もう一度設定を見直してみて下さい。
コマンドプロンプトを閉じるには enter キーを押下します。
くれぐれもウィンドウ右上の「×」ボタンを押さないようにして下さい。
IDScenter ごと終了してしまいます。
