【無料ツールで作るセキュアな環境(9)】〜snortのルールセットの整理〜(執筆:office、みっきー) | ScanNetSecurity
2023.09.28(木)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

【無料ツールで作るセキュアな環境(9)】〜snortのルールセットの整理〜(執筆:office、みっきー)

 前回まででsnortの起動まで作業を進めることができた。試しに少し動かしてみただろうか?

特集 特集
 前回まででsnortの起動まで作業を進めることができた。試しに少し動かしてみただろうか?

 インストールした素のままでsnortを運用すると、それこそ誤警報ばかりでsnortに対して落胆を覚えるかもしれない。だがそれは早合点だ。

 snortに限らずIDSは、それが運用される環境の情報を与えられていない。実際にそれがインストールされるホストは、wwwをサービスしているのか、mailをサービスしているのか。あるいは、そのホストは閉ざされたネットワークに設置されるのか、それともインターネット上に公開されるのかといった状況はsnortにはわからない。

 そこでsnortの初期状態のルールセットでは、可能な限り多くの現象を記録できるように設定されている。そのため個々の環境に対してはルールの数が多すぎるのだ。

 例えば、Linuxで運用されているDNSサーバ上にはIISへの攻撃を検出するためのルールセットを装備しても効果は期待できない。また初期状態でのルールセットにはpingを検出するためのルールなどが数多く記載されている。pingやtraceroute等は日常的に発生する通信であり、IDSを運用してゆく上では特別な理由でも無い限りは無視した方が都合が良いのだ。

 そこでsnortのインストール作業の後には、必ずルールセットを含む設定の最適化作業が必要となる。

 最適化作業と言ってもルールを自分で記述して構築するような複雑な作業ではないので安心して頂きたい。上述のようにルールセットは可能な限り多くの不正利用を想定して作成されているので、不要なルールをそこから取り除いてしまうだけである。

 では早速ルールセットを最適化してみよう。ルールセットを保存したディレクトリには以下のファイルが存在する。これらのファイルはルールが検出するジャンル毎におおまかにまとめられたものだ。

snort.conf    ルールセットのメインファイル
 |−backdoor-lib  バックドアとの通信の検出
 |−ddos-lib    DDoS関連の通信および攻撃の検出
 |−finger-lib さまざまなクライアントからのfingerの検出
 |−ftp-lib ftpに対する通信や攻撃の検出
 |−misc-lib リモート管理ツールやその他の検出
 |−netbios-lib netbiosによる不正利用の検出
 |−overflow-lib バッファ・オーバーフロー攻撃の検出
 |−ping-lib さまざまなクライアントからのpingの検出
 |−rpc-lib rpcに対する通信や攻撃の検出
 |−scan-lib ステルス系ポートスキャン等の検出
 |−smtp-lib smtpに対する通信や攻撃の検出
 |−telnet-lib telnetに対する通信や攻撃の検出
 |−web-lib wwwに対する通信や攻撃の検出
 |−webcf-lib ColdFusionに対する通信や攻撃の検出
 |−webcgi-lib cgiに対する通信や攻撃の検出
 |−webfp-lib FrontPageに対する通信や攻撃の検出
 |−webiis-lib IISに対する通信や攻撃の検出
 |−webmisc-lib その他のwww関連サービスへの通信や攻撃の検出

 snort.confは他の*-libファイルをインクルードする形式で記述されてい
る。従って1つのジャンルをまるごと無効にする場合は、該当のinclude行をコメントアウトするだけでよい。例えばColdFusion関連の検出を無効にするのであれば、snort.confファイルの後部でincludeされている部分をコメントアウトする。

include webcf-lib ─> #include webcf-lib

 同様にルールセット内に記述されている任意のルールを無効にする場合にも同様にコメントアウトすれば良い。代表的なポートスキャンツールであるnmapからのpingの検出を無効にするのであれば、ping-libファイル内にある行を以下のようにコメントアウトする。

# alert tcp any any -> $HOME_NET any
  (msg:"IDS028 - PING NMAP TCP";flags:A;ack:0;)


office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/

(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

WordPress 用プラグイン「Welcart e-Commerce」に複数の脆弱性 画像

WordPress 用プラグイン「Welcart e-Commerce」に複数の脆弱性
Sansan、不正ログインに注意呼びかけ ~ 無償提供の二要素認証等促進 画像

Sansan、不正ログインに注意呼びかけ ~ 無償提供の二要素認証等促進
安全神話は本当か トレンドマイクロ「Linux 脅威レポート」 画像

安全神話は本当か トレンドマイクロ「Linux 脅威レポート」
ISC BINDに複数の脆弱性、アップデートを呼びかけ 画像

ISC BINDに複数の脆弱性、アップデートを呼びかけ
複数のBGP実装に不正なBGP UPDATEメッセージ取り扱いの問題 画像

複数のBGP実装に不正なBGP UPDATEメッセージ取り扱いの問題
systemd において sudo 権限の付与により管理者権限での任意のコード実行が可能となる脆弱性(Scan Tech Report) 画像

systemd において sudo 権限の付与により管理者権限での任意のコード実行が可能となる脆弱性(Scan Tech Report)

インシデント・事故 記事一覧へ

JR西日本グループの山陽SC開発のメールアカウントに不正アクセス、迷惑メール送信踏み台に 画像

JR西日本グループの山陽SC開発のメールアカウントに不正アクセス、迷惑メール送信踏み台に
NICTの業務委託先 TBSグロウディアでノートPC紛失 画像

NICTの業務委託先 TBSグロウディアでノートPC紛失
仕事旅⾏社のサーバに不正アクセス「日本警察が要求に従わない場合データ公開」 画像

仕事旅⾏社のサーバに不正アクセス「日本警察が要求に従わない場合データ公開」
「アミ姫 WEB キャンペーン」応募者の個人情報管理サーバに不正アクセス 画像

「アミ姫 WEB キャンペーン」応募者の個人情報管理サーバに不正アクセス
メガネスーパー運営企業の個人情報、法律上無効の可能性がある契約に基づき譲渡された店舗の POS 端末で検索した形跡 画像

メガネスーパー運営企業の個人情報、法律上無効の可能性がある契約に基づき譲渡された店舗の POS 端末で検索した形跡
南海電鉄運営のシェアオフィス「Lieffice」公式サイトへの不正アクセス、顧客情報DBへ到達は不可能なため漏えいはないと判断 画像

南海電鉄運営のシェアオフィス「Lieffice」公式サイトへの不正アクセス、顧客情報DBへ到達は不可能なため漏えいはないと判断

調査・レポート・白書・ガイドライン 記事一覧へ

ランサムウェア さらに投資対効果追求「フォーティネット グローバル脅威レポート 2023年上半期版」 画像

ランサムウェア さらに投資対効果追求「フォーティネット グローバル脅威レポート 2023年上半期版」
攻撃者の Active Directory 到達まで平均 16 時間 ~ ソフォス調査 画像

攻撃者の Active Directory 到達まで平均 16 時間 ~ ソフォス調査
ランサムウェア対応 法執行機関を関与させた方がコストも期間も減少 ~ IBM 調査 画像

ランサムウェア対応 法執行機関を関与させた方がコストも期間も減少 ~ IBM 調査
フォーティネット「2023年ゼロトラストに関する現状レポート」公表 画像

フォーティネット「2023年ゼロトラストに関する現状レポート」公表
GMOイエラエ 登壇「セキュリティ・キャンプ全国大会2023」講義資料公開 画像

GMOイエラエ 登壇「セキュリティ・キャンプ全国大会2023」講義資料公開
TwoFive「フィッシングトレンド 2023年1月~6月 調査結果」公表 画像

TwoFive「フィッシングトレンド 2023年1月~6月 調査結果」公表

研修・セミナー・カンファレンス 記事一覧へ

医療 ISAC ほか講演「JAIPA Cloud Conference 2023」9月21日 ハイブリッド開催 画像

医療 ISAC ほか講演「JAIPA Cloud Conference 2023」9月21日 ハイブリッド開催
公安調査庁がサイバー攻撃ほかについて講演「法の日フェスタin赤レンガ2023」 画像

公安調査庁がサイバー攻撃ほかについて講演「法の日フェスタin赤レンガ2023」
デロイト直伝:バグバウンティハンターのなり方 画像

デロイト直伝:バグバウンティハンターのなり方
診断内製化 まだ年度末に間に合う ~ エーアイセキュリティラボ 執行役員 関根鉄平氏 解説 画像

診断内製化 まだ年度末に間に合う ~ エーアイセキュリティラボ 執行役員 関根鉄平氏 解説
RSA 主催セミナーに ISOG-J 副代表の阿部氏登壇 画像

RSA 主催セミナーに ISOG-J 副代表の阿部氏登壇
耐量子計算機暗号(PQC)への移行に向けた取組み GMOイエラエ菅野氏紹介 ~ 日本銀行金融研究所セミナー 画像

耐量子計算機暗号(PQC)への移行に向けた取組み GMOイエラエ菅野氏紹介 ~ 日本銀行金融研究所セミナー

製品・サービス・業界動向 記事一覧へ

IPA 基準適合サービスリスト 脆弱性診断サービス 7 社追加 画像

IPA 基準適合サービスリスト 脆弱性診断サービス 7 社追加
ランサムウェア被害を最小限に留め 事業再開を迅速に ~ サイバーレジリエンスとは? 画像

ランサムウェア被害を最小限に留め 事業再開を迅速に ~ サイバーレジリエンスとは?
セキュアヴェイル、医療機関向けセキュリティ対策に特化「NetStare for Medical」 画像

セキュアヴェイル、医療機関向けセキュリティ対策に特化「NetStare for Medical」
スマホアプリ開発ガイドラインを開発、コンサルサービスとして提供 画像

スマホアプリ開発ガイドラインを開発、コンサルサービスとして提供
NECと高専機構 “セキュ女子” が交流、CTF体験など実施 画像

NECと高専機構 “セキュ女子” が交流、CTF体験など実施
AI は未来の脆弱性診断をどう変える? 第3回 「進化する AI と共に成長する AeyeScan、人を超えていく未来の可能性を探る」 画像

AI は未来の脆弱性診断をどう変える? 第3回 「進化する AI と共に成長する AeyeScan、人を超えていく未来の可能性を探る」

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×