【無料ツールで作るセキュアな環境(12)】 〜snortのルール作成:ルールヘッダ部〜(執筆:office、みっきー) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.19(日)

【無料ツールで作るセキュアな環境(12)】 〜snortのルール作成:ルールヘッダ部〜(執筆:office、みっきー)

特集 特集

 前回ではsnortのルールセットのメンテナンスについて解説をおこなった。今回記事からは独自にルールそのものを作成するための手法を解説しよう。ルールを作成するとなると、TCP/IPの知識が多少必要であり、解説も少々長くなる。今回はルールヘッダ部についての解説である。

 まず最初にルールの文法について説明する。snortのルールは次のサンプルの様に記述される。個々のsnortのルールはかならず1行内に収めなければならない。

alert tcp any any -> 192.168.0.0/24 23 (content:"passwd"; msg:"passwd was detected";)

 snortのルールは、大きくわけて2つの部分から構成される。上記サンプルの先頭から括弧"("の手前までをルールヘッダ、それ以降の部分をルールオプションと呼ぶ。

 ルールヘッダ部は、ルールのアクション、プロトコル、通信元および宛先のIPアドレスとネットマスク、それにポート番号から構成され、ルールオプション部には、アクションを実際に動作するための条件と、アラート時に出力すべきメッセージから構成される。

 ルールの1番目の部分には、ルールのアクションを指定し、alert、log、pass、active、dynamicという5つのキーワードから選択する。ルールに記述された条件に合うパケットを受信した場合に、どのような操作がなされるかがルールのアクションの記述によって決定される。

alert:ルールオプション内の指示に従ってアラートを出力し、またパケットをログディレクトリ内に記録する。snortの起動時に -d オプションが指定されていれば、ログディレクトリ内にパケットのアプリケーションレイヤのデータを記録する。

log:パケットをログディレクトリ内に記録する。記録するのみでアラート出力は行わない。また、alertの場合と同様に -d オプションが指定されている場合にはアプリケーションレイヤのデータを記録する。

pass:パケットを通過させる。このルールに一致したパケットは、直ちに評価を終了し、以下のルールと一致することは無い。ただし、このキーワードを有効に活用するためには、snortの起動時に -o オプションを指定する必要がある。

activate:アラートを出力し、dynamicルールを有効にする。

dynamic:activateルールにより起動され、ログルールに従った処理を行う。
activateとdynamicは1対で記述することにより機能する。例えば「loginの文字列を検出した後に続く50パケットを記録する」などといったルールを記述することが可能である。


office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/


(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/scan/


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×