IDSを使ったLinuxセキュリティアップ入門(10) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.26(火)

IDSを使ったLinuxセキュリティアップ入門(10)

特集 特集

 前回は、誤検知を是正するためのSnortの設定見直しやルールセットの絞込み、簡単なシグネチャの編集などについて説明した。今回も、引き続きルールセットに関連する話題である。ルールセットの種類とルールセットの更新について言及していきたい。

●ルールセットの種類

 前回も述べたが、SnortなどのIDSを運用していく場合、ルールセットやシグネチャの適用見直し、あるいは修正は避けることができない。このプロセスを通じて、環境に最適化されたSnortの利用が望めるからである。
 実際、素のままの状態のSnortでは、誤検知の多発やログの肥大化といったユーザにとってわずらわしい部分がクローズアップされてしまうことが多い。ルールセットの絞込みなどは、常に気をつけておいた方がいいだろう。改めて、Snortに含まれるルールセットとその検知内容について、簡単に紹介しておくことにする。ルールセット名は、snort.confに記述されている順になっている。

local.rules:ユーザーが独自に作成・追加したルールに従った通信の検知
bad-traffic.rules:0番ポートや127.0.0.0といった特殊なアドレスに対するアクセスを検知
exploit.rules:バッファオーバーフローなどの脆弱性を突く不正アクセスを検知
scan.rules:各種のスキャンツールによるアクセスを検知
finger.rules:fingerサービスに対する問合せや攻撃を検知
ftp.rules:ftpサービスに対する問合せや攻撃を検知
telnet.rules:telnetサービスに対する問合せや攻撃を検知
rpc.rules:rpcサービスに対する問合せや攻撃を検知
rservices.rules:rshやrloginといったr系サービスに対する攻撃を検知
dos.rules、ddos.rules:DoS(サービス拒否)、DDoS(分散型サービス拒否)攻撃を検知
dns.rules:DNSサーバーに対する問合せや攻撃を検知
tftp.rules:Tftpサービスに対する問合せや攻撃を検知
web-cgi.rules:いわゆるCGIに対する攻撃を検知
web-coldfusion.rules:Webアプリケーションサーバー・ColdFusionに対する攻撃を検知
web-iis.rules:MicrosoftのWebサーバー・IISに対する攻撃を検知
web-frontpage.rules:IIS上で動作するFrontPageの拡張機能(Server Extension)に対する攻撃を検知
web-misc.rules:その他のWebサーバーに対する攻撃を検知
web-client.rules:Webクライアント(ブラウザ)に対する攻撃を検知
web-php.rules:スクリプト言語であるPHPに対する攻撃を検知
sql.rules:MicrosoftのSQL Serverに対する攻撃を検知
x11.rules:X Window Systemに対する攻撃を検知
icmp.rules:ICMPを利用した不正アクセスや攻撃を検知
netbios.rules:NetBiosを利用した不正アクセスや攻撃を検知
misc.rules:不正なプログラムを使った通信などを検知
attack-responses.rules:不正アクセスに成功した者が行う通信などを検知oracle.rules:オラクルに対する攻撃を検知
mysql.rules:MySQLに対する攻撃を検知
snmp.rules:snmpサービスに対する攻撃を検知
smtp.rules:SMTPサーバーに対する攻撃を検知
imap.rules:IMAPに対する攻撃を検知
pop2.rules、pop3.rules:POP2サーバー、POP3サーバーに対する攻撃を検知nntp.rules:NNTPサーバーに対する攻撃を検知
other-ids.rules:他のIDSの出す通信パケットを検知
web-attacks.rules:Webサイトへの攻撃を検知
backdoor.rules:いわゆるバックドアの通信を検知
shellcode.rules:シェルコードを利用した不正アクセスを検知
policy.rules:セキュリティポリシーに反する通信(anonymousFTPのログインやメールサーバーのリレー許容など)を検知
porn.rules:アダルトサイトへのアクセスを検知
info.rules:各種サービスに対する不振な情報の問合せを検知
icmp-info.rules:一般的なICMPをすべて検知
virus.rules:ウイルスが仕込まれたプログラムを実行することで行われる不正な通信を検知
chat.rules:ICQやIRCといったツールを利用したチャット通信を検知
multimedia.rules:マルチメディアデータを検知
p2p.rules:ピア・ツー・ピアソフトの利用を検知
experimental.rules:実験的なシグネチャを格納するファイル(今のところ中身は空)

 なお、web-attacks.rulesからp2p.rulesまではデフォルトでコメントアウトされているので、これらのルールによる処理は通常行われない。内容を確認の上、必要があると思われるなら適用してみよう。もっとも、誤検知が頻発する恐れのあるルールや検知結果に疑問が残るルールもあり、安易な適用は止めておいた方がいいだろう。


●ルールセットの更新

 ルールセットの絞込みと同様に気をつけたいのがルールセットの更新である。インターネットの普及が進み悪質なウイルスが出回る昨今、サーバに対する攻撃や不正アクセスの方法については、日々新しい手法が考案されているといっても過言ではない。ウイルスの蔓延自体、不正アクセス技術の一端にあるといっていいかもしれない。

 今まで見てきたように、Snortはあらかじめ用意されているルールセットに基づいて、不正と思われるアクセスを検出・警告する。そのため、新たに現出した手法による不正アクセスや攻撃には対処することができない。常に最新の不正アクセスや攻撃に対処するためには、定期的なルールセットの更新が不可欠になるのだ。


【執筆:磯野康孝】

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

    工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. ISMS認証とは何か■第1回■

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  8. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×