これまで連載してきた snort の記事は linux での運用を例に話を進めてきているが、snort は Windows 上で用いることも可能である。今回は Windows 用の snort-win32 について Unix 版と異なる点を中心に解説する。 snort にはパケットキャプチャーのプログラムが別に必要であるが、snort-win32 では libpcap の代わりに WinPcap というパケットキャプチャープログラムが利用できる。snort-win32 を何の前準備もなく起動すると、"Missing packet.dll" という警告が出るが、これは WinPcap がインストールされていないということである。WinPcap はhttp://netgroup-serv.polito.it/winpcap/install/default.htmからダウンロードできる。執筆時点での最新バージョンは 2.1 である。 ダウンロードされた WinPcap.exe はインストーラを含んだ実行形式ファイルとなっているので、Windows 上から WinPcap.exe をダブルクリックするだけで直ちにインストールプログラムが起動する。インストールプログラム起動後はメッセージに従ってインストールを進めていくが、特に必要の無い限りはデフォルト状態で指定されている Nextボタン等を押していくだけでインストールは終了する。 WinPcap のインストールで導入される packet.dll は libpcap version 0.5 をベースにカーネルレベルで機能するよう作られたダイナミックリンクライブラリで、ユーザはパケットキャプチャープログラムを作動させていることを特に意識することなく利用できる。 snort 解説の連載開始時に openssl の利用をお勧めしたが、Windowsでも openssl を使用することができる。openssl をWindows で用いるには原則としてソースを自分でコンパイルすることになっているが[1]、Mingw32/Cygwin でコンパイルしたものも配布されており、http://www.kix.or.jp/~fujino/openssl/index-ja.htmlなどから実行ファイルをダウンロードすることが可能だ。なお openssl の最新バージョンは現在 0.9.6a であるが、上記サイトで現在配布されている実行ファイルは 0.9.5a である。 さて、snort-win32 のインストールについて説明する。snort-win32 はWindows 95/98/NT4/2000 上で動かすことができる。snort-win32 は Unix 版と同じくhttp://www.snort.org/snort-files.htmからダウンロードできる。執筆時点での安定バージョンは 1.7 である。officeoffice@ukky.nethttp://www.office.ac/みっきーmicky@office.achttp://www.hawkeye.ac/micky/[1] http://www.openssl.org/support/faq.html#MISC4詳しくはScan本誌をご覧下さい。http://www.vagabond.co.jp/c2/scan/
