Snort提供元 : http://www.snort.org/
必要ライブラリ
libpcap
libpcre
● libpcap
libpcapライブラリのインストール
libpcap提供元 : http://www.tcpdump.org/
● libpcre
Perl互換の正規ライブラリ
libpcre提供元 : http://www.pcre.org/
SnortのDownloadとインストール
1. Snort最新tarballのダウンロード
# wget http://www.snort.org/dl/current/snort-2.6.0.tar.gz
2. MD5/SHA1チェックサムのダウンロード
# wget http://www.snort.org/dl/current/snort-2.6.0.tar.gz.md5&br;&br;
3. MD5およびSHA1チェックサム
$ cat ./snort-2.6.0.tar.gz.md5 88bb7f628e5bf1edc6409fbb126eaed0 snort-2.6.0.tar.gz $ /usr/bin/md5sum ./snort-2.6.0.tar.gz 88bb7f628e5bf1edc6409fbb126eaed0 ./snort-2.6.0.tar.gz $ /usr/bin/sha1sum ./snort-2.6.0.tar.gz 502b68163ab378ea55e88d588f8a4784a589377d ./snort-2.6.0.tar.gz
4. tarballの解凍
$ tar zxvf snort-2.6.0.tar.gz
5. configureスクリプトの実行
MYSQLにアラートを出力するためのオプション付で実行
$ cd snort-2.6.0 $ ./configure --with-mysql=yes
6. インストール
$ make $ su # make install
7. ログディレクトリの作成
# mkdir /var/log/snort # chown snort:snort /var/log/snort
8. /etc/snort/snort.confの編集
9. snortの起動
# cd /etc/init.d # wget http://internetsecurityguru.com/snortinit/snort # chmod 755 snort # chkconfig snort on # snort -l /etc/snort/rules -u snort &
IDSとは
Intrusion Detection System
ネットワークを流れるパケットを監視してパターンに沿った処理(警告)を行う。
IDS導入メリット
異常をIDS管理者に気づかせる。
【注】異常 = 不正アクセス とは限らない
IDSの2つの誤検知
●False Positive
●False Negative
False Positive … 正当なパケットを不正と判断
False Negative … 不正な判断を見逃す
誤検知の弊害
正規の警告が誤検知に埋もれ正規の警告を見逃しやすくなる
NIDSとHIDS
●NIDS = ネットワーク型IDS (e.g.: Snort)
●HIDS = ホスト型 (e.g.: Tripwire)
NIDS … 対象ネットワークを流れる全パケットを監視
HIDS … IDSが稼動しているコンピュータ自身を監視
シグネチャ型IDSとアノマリ型IDS
●シグネチャ型: 不正パケットの定義と照合し検知する。
●アノマリ型: 正常な状態を定義し、現況と照合して検知を行う。
[参考]
mailto: snowy0222@yahoo.co.jp