今回記事より侵入検知システム用ツールとして最も有名なsnort [1]を取り上げる。[snortの概要] 侵入検知システム(IDS:Intrusion Detection System)とは、コンピュータおよびネットワークに対するセキュリティ侵害の検知を行うシステムのことである。IDSツールの一つであるsnortはネットワーク・ケーブル上を流れるパケットをモニタするNIDS (Network Intrusion Detection System)というタイプに属する。 snortはMarty Roeschを中心にして開発されており、GNU General Public Licenseに従って配布されている。その機能はホストマシンへの入力パケットを解析し、予め登録されているルールあるいはシグネチャとパターンマッチングを行い、システムへの侵入を検知するというものだ。注意しなければならないのは、snortはどのように侵入が試みられたかをlogに記録してはいるが、侵入行為そのものを阻止する働きはないということである。 snortの対象プラットホームは幅広く、Linux, OpenBSD, FreeBSD, Solaris, SunOS 4.1.X, HP-UX, AIX, IRIX, Tru64, MacOS X Server, あるいはWindows 95/98/NT4/2000という多くの環境で動作確認がなされている。本snort解説記事では当面Linuxでの運用を例にとって説明する。 snortが動作するためにはlibpcapがインストールされていることが必要である。またsnortにはopensslを必要とするオプションモジュールが存在する。opensslはhttpsやssh等の暗号化された通信を実現するためにも必要となるものなので、是非ともopensslをインストールすることをお勧めする。一部のディストリビューションでは、libpcap、opensslがパッケージとして準備されている。その状況で、さらにsnortもパッケージが準備されている場合には、すべてをパッケージから導入した方が、ディストリビューションとしての整合性を取るためには良い方法である。[libpcap] libpcap (library for packet capture) はLANケーブル上のパケットをモニタリングするUNIXシステムにおいて使用可能な一般的なライブラリだ。libpcapはsnortに限らずほとんどの侵入検知ツールがこのライブラリを利用して作動する。 libpcapはRedHat6.2では標準で含まれている。またrpmパッケージをhttp://www.redhat.com/swr/i386/libpcap-0.4-29.i386.htmlから入手することもできる。 libpcapを自分で構築する場合、libpcapは以下のサイトで入手できる。http://www.tcpdump.org/release/本原稿を執筆時点での最新ソースアーカイブ名は libpcap-0.6.2.tar.gz である。そして次のようにしてインストールできる。$ tar xvzf libpcap-0.6.2.tar.gz$ cd libpcap-0.6.2$ ./configure $ make officeoffice@ukky.nethttp://www.office.ac/みっきーmicky@office.achttp://www.hawkeye.ac/micky/[1] http://www.snort.org/(詳しくはScan本誌をご覧下さい)http://www.vagabond.co.jp/c2/scan/
