Snort

Snort

Snort提供元 : http://www.snort.org/

必要ライブラリ
libpcap
libpcre

● libpcap
libpcapライブラリのインストール
libpcap提供元 : http://www.tcpdump.org/

● libpcre Perl互換の正規ライブラリ
libpcre提供元 : http://www.pcre.org/

SnortのDownloadとインストール
1. Snort最新tarballのダウンロード

   # wget http://www.snort.org/dl/current/snort-2.6.0.tar.gz

2. MD5/SHA1チェックサムのダウンロード

   # wget http://www.snort.org/dl/current/snort-2.6.0.tar.gz.md5&br;&br;

3. MD5およびSHA1チェックサム

   $ cat ./snort-2.6.0.tar.gz.md5
   88bb7f628e5bf1edc6409fbb126eaed0  snort-2.6.0.tar.gz
   $ /usr/bin/md5sum ./snort-2.6.0.tar.gz
   88bb7f628e5bf1edc6409fbb126eaed0  ./snort-2.6.0.tar.gz
   $ /usr/bin/sha1sum ./snort-2.6.0.tar.gz
   502b68163ab378ea55e88d588f8a4784a589377d  ./snort-2.6.0.tar.gz

4. tarballの解凍

   $ tar zxvf snort-2.6.0.tar.gz

• tarコマンドオプション
  • z : アーカイブをgzip形式を利用して圧縮/解凍
  • x : アーカイブを展開
  • v : 冗長モード。ファイルを追加、抽出する際にファイル名を表示。
  • f : 指定したアーカイブ、またはデバイスに出力

5. configureスクリプトの実行
MYSQLにアラートを出力するためのオプション付で実行

   $ cd snort-2.6.0
   $ ./configure --with-mysql=yes

6. インストール

   $ make
   $ su
   # make install

7. ログディレクトリの作成

   # mkdir /var/log/snort
   # chown snort:snort /var/log/snort

8. /etc/snort/snort.confの編集

9. snortの起動

   # cd /etc/init.d
   # wget http://internetsecurityguru.com/snortinit/snort
   # chmod 755 snort
   # chkconfig snort on
   
   # snort -l /etc/snort/rules -u snort &

IDS (Intrusion Detection System)

IDSとは
Intrusion Detection System
ネットワークを流れるパケットを監視してパターンに沿った処理(警告）を行う。

IDS導入メリット
異常をIDS管理者に気づかせる。
【注】異常 = 不正アクセス　とは限らない

IDSの２つの誤検知
●False Positive
●False Negative

False Positive …　正当なパケットを不正と判断
False Negative …　不正な判断を見逃す

誤検知の弊害
正規の警告が誤検知に埋もれ正規の警告を見逃しやすくなる

NIDSとHIDS
●NIDS = ネットワーク型IDS (e.g.: Snort)
●HIDS = ホスト型 (e.g.: Tripwire)

NIDS …　対象ネットワークを流れる全パケットを監視
HIDS … IDSが稼動しているコンピュータ自身を監視

シグネチャ型IDSとアノマリ型IDS
●シグネチャ型：　不正パケットの定義と照合し検知する。
●アノマリ型：　正常な状態を定義し、現況と照合して検知を行う。

[参考]

• @IT:Snortでつくる不正侵入検知システム