前回は、Snortの3つある起動モードのうち、スニファモードとパケットログモードの起動方法とその内容について説明した。今回は、SnortのメインモードともいえるIDSモードで起動させてみる。●IDSモードでの起動 IDSモードとは、読んで字のごとくSnortをネットワーク型IDSとして動作させるものだ。このモードで起動すると、パケットログモードのときのように単純にすべてのパケットをキャプチャするだけでなく、キャプチャしたパケットの中身を解析し、「不正」と判断したパケットについては警告メッセージを発するようになる。警告メッセージは、あらかじめ作成しておいたログファイルの出力先フォルダ(/var/log/snort)に自動作成される、alertというファイルに記録されていくのだ。 IDSモードでの起動は、cオプションとlオプションを使用し、設定ファイルとログフォルダを指定する必要がある。また、セキュリティ対策として専用ユーザsnort(グループsnort)で起動させるために、uとgオプションを併用し、以下のように入力する。# snort -c /etc/snort/snort.conf -l /var/log/snort -u snort -g snort IDSモードで起動させると、スニファモードやパケットログモードとは比較にならないぐらいの長いメッセージが表示される。内容はルールセットの適用に関する情報などだ。メッセージの終了後は、パケットログモードと同様に待受状態になる。メッセージの2行目には起動モードが表示されるので確認して欲しい。IDSモードによる起動直後の画面表示を以下に示す。# snort -c /etc/snort/snort.conf -l /var/log/snort -u snort -g snortRunning in IDS modeLog directory = /var/log/snort Initializing Network Interface eth0 ─== Initializing Snort ==─Initializing Output Plugins!Decoding Ethernet on interface eth0Initializing Preprocessors!Initializing Plug-ins!Parsing Rules file /etc/snort/snort.conf +++++++++++++++++++++++++++++++++++++++++++++++++++Initializing rule chains...(中略) ─== Initialization Complete ==─ -*> Snort! <*-Version 2.1.0 (Build 9)By Martin Roesch (roesch@sourcefire.com, www.snort.org) なお、キャプチャされたデータそのものは、キャプチャパケットのIPアドレス毎にサブフォルダが作成され、そこに保存される。これは、パケットログモードと同じである。【執筆:磯野康孝】(詳しくはScan本誌をご覧ください)http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
