【無料ツールで作るセキュアな環境(9)】〜snortのルールセットの整理〜(執筆:office、みっきー) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.22(金)

【無料ツールで作るセキュアな環境(9)】〜snortのルールセットの整理〜(執筆:office、みっきー)

特集 特集

 前回まででsnortの起動まで作業を進めることができた。試しに少し動かしてみただろうか?

 インストールした素のままでsnortを運用すると、それこそ誤警報ばかりでsnortに対して落胆を覚えるかもしれない。だがそれは早合点だ。

 snortに限らずIDSは、それが運用される環境の情報を与えられていない。実際にそれがインストールされるホストは、wwwをサービスしているのか、mailをサービスしているのか。あるいは、そのホストは閉ざされたネットワークに設置されるのか、それともインターネット上に公開されるのかといった状況はsnortにはわからない。

 そこでsnortの初期状態のルールセットでは、可能な限り多くの現象を記録できるように設定されている。そのため個々の環境に対してはルールの数が多すぎるのだ。

 例えば、Linuxで運用されているDNSサーバ上にはIISへの攻撃を検出するためのルールセットを装備しても効果は期待できない。また初期状態でのルールセットにはpingを検出するためのルールなどが数多く記載されている。pingやtraceroute等は日常的に発生する通信であり、IDSを運用してゆく上では特別な理由でも無い限りは無視した方が都合が良いのだ。

 そこでsnortのインストール作業の後には、必ずルールセットを含む設定の最適化作業が必要となる。

 最適化作業と言ってもルールを自分で記述して構築するような複雑な作業ではないので安心して頂きたい。上述のようにルールセットは可能な限り多くの不正利用を想定して作成されているので、不要なルールをそこから取り除いてしまうだけである。

 では早速ルールセットを最適化してみよう。ルールセットを保存したディレクトリには以下のファイルが存在する。これらのファイルはルールが検出するジャンル毎におおまかにまとめられたものだ。

snort.conf    ルールセットのメインファイル
 |−backdoor-lib  バックドアとの通信の検出
 |−ddos-lib    DDoS関連の通信および攻撃の検出
 |−finger-lib さまざまなクライアントからのfingerの検出
 |−ftp-lib ftpに対する通信や攻撃の検出
 |−misc-lib リモート管理ツールやその他の検出
 |−netbios-lib netbiosによる不正利用の検出
 |−overflow-lib バッファ・オーバーフロー攻撃の検出
 |−ping-lib さまざまなクライアントからのpingの検出
 |−rpc-lib rpcに対する通信や攻撃の検出
 |−scan-lib ステルス系ポートスキャン等の検出
 |−smtp-lib smtpに対する通信や攻撃の検出
 |−telnet-lib telnetに対する通信や攻撃の検出
 |−web-lib wwwに対する通信や攻撃の検出
 |−webcf-lib ColdFusionに対する通信や攻撃の検出
 |−webcgi-lib cgiに対する通信や攻撃の検出
 |−webfp-lib FrontPageに対する通信や攻撃の検出
 |−webiis-lib IISに対する通信や攻撃の検出
 |−webmisc-lib その他のwww関連サービスへの通信や攻撃の検出

 snort.confは他の*-libファイルをインクルードする形式で記述されてい
る。従って1つのジャンルをまるごと無効にする場合は、該当のinclude行をコメントアウトするだけでよい。例えばColdFusion関連の検出を無効にするのであれば、snort.confファイルの後部でincludeされている部分をコメントアウトする。

include webcf-lib ─> #include webcf-lib

 同様にルールセット内に記述されている任意のルールを無効にする場合にも同様にコメントアウトすれば良い。代表的なポートスキャンツールであるnmapからのpingの検出を無効にするのであれば、ping-libファイル内にある行を以下のようにコメントアウトする。

# alert tcp any any -> $HOME_NET any
  (msg:"IDS028 - PING NMAP TCP";flags:A;ack:0;)


office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/

(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  6. ISMS認証とは何か■第1回■

  7. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  8. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  9. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×