IDSを使った侵入検知（４）

〜［前号より］〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜　Snortを終了させるには、[Ctrl]+[C]を押す。すると、そこまでの分析結果が簡易表示される。分析したパケット数やプロトコルの種類、記録されたアラート回数等が大雑把に把握できると思う。詳細

特集

2003.5.22 Thu 12:00

〜［前号より］〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜　Snortを終了させるには、[Ctrl]+[C]を押す。すると、そこまでの分析結果が簡易表示される。分析したパケット数やプロトコルの種類、記録されたアラート回数等が大雑把に把握できると思う。詳細は「alert.ids」等のログファイルに記録されている。これらは、テキストエディタなどで参照することが可能だ。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

●GUIフロントエンドの利用

　もっとも、上記は単純にSnortを実行させた場合のプロセスで、最低限のものだ。実際には、コマンドラインからSnortを操作する場合、さまざまなオプションを付加して起動させることになる。オプション設定の煩雑さや記録されたログを閲覧することも考えると、Windowsユーザなら、やはりGUIフロントエンドを利用した方が分かりやすい。

　Snort用のGUIフロントエンドはいくつか公開されているが、「IDScenter（ http://www.packx.net/packx/html/en/index-en.htm ）」や「snort.panel（ http://www.xato.net/files.htm ）」が有名である。本稿では、「IDScenter」を利用してみる。

「http://www.packx.net/packx/html/en/index-en.htm」にアクセスし、画面左側のメニューから「Download」をクリックするとプログラムの一覧が現れる。（※2）その中の「IDScenter and Eagle X」の[Packages]をクリックする。表示される一覧表で「IDScenter」をクリックすると「ファイルのダウンロード」ダイアログボックスが開くので、適当なローカルフォルダにダウンロードしよう。パッケージはZIPファイルになっており、最新版（執筆時）は「idscenter11rc2.zip」だ。

※2：IDScenterのダウンロードページ
http://vagabond.co.jp/c2/scan/snort02.gif

●IDScenterのインストールと設定

　ファイルを解凍すると「setup.exe」を取り出せるので、そのままダブルクリックする。インストールが開始されるが、ウィザード形式なので基本的にデフォルトのまま進めていいだろう。インストールが完了するとデスクトップにアイコンが作成され、自動的に「IDScenter」が起動する。タスクトレイに常駐する形になるので、アイコンをダブルクリックして拡大表示させよう。IDScenterは、左側にパネル切り替えメニューがあり、右側が設定パネルになっている。

【執筆：磯野康孝】

「無料セキュリティツールで構築するセキュアな環境 No.1」
　〜ZoneAlarm−snort〜
http://shop.vagabond.co.jp/p-fss01.shtml

http://www.d-pub.co.jp/cgi-bin/bannou/shop/book_detail.cgi

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml