IDSを使ったLinuxセキュリティアップ入門(11) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.24(金)

IDSを使ったLinuxセキュリティアップ入門(11)

特集 特集

 前回は、ルールセットの種類と概要、および更新に関する知識について説明した。設定の見直しやルールセットの絞込みというメンテナンス作業と同様、ルールセットの更新も重要な意味を持っていることがお分かりいただけただろうか。今回は、そのルールセットの更新を自動化するツール「Oinkmaster」の使い方について探っていくことにする。


●ルールセット更新の重要性とOinkmaster

 本稿の第1回で述べたように、Snortはネットワーク上を流れるパケットを監視し不正なパケットを検知するネットワーク型IDSであり、不正パケットの検知方法としては、あらかじめパターン化しておいた不正パケットのパターンと現在流れているパケットのパターンを照合させることで不正パケットを発見する方式(シグネチャ型)を採用している。シグネチャは、既知のさまざまな攻撃や不正アクセスの特徴をルール化したもので、いわば、アンチウイルスソフトのパターンファイルのようなものだ。Snortでは、ルールセットと呼ばれる各ファイル(.rules)がそれに当たる。

 つまり、Snortにおけるルールセットの更新は、アンチウイルスソフトのパターンファイルの更新と同じ意味合いを持っていることになる。パターンファイルを更新しないアンチウイルスソフトが新種のウイルスに無力なように、Snortの場合も、ルールセットが更新されなければ、新手の攻撃や不正アクセスの前にはまったく役に立たないといってもいいだろう。それだけルールセットの更新作業は、Snortの運用に当たって重要な作業なのである。

 前回述べたように、ルールセットの更新作業そのものは難しくない。新しいアーカイブファイルをサイトからダウンロードし、解凍後、既存ファイルへ上書きするだけである。問題なのは、誤検知対策などでルールセットに修正を加えていたり、ユーザ独自のルールを追加していたりするような場合である。上記の方法では、ルールセットの更新のたびに.rulesファイルの内容を修正しなければならなくなってしまう。

 Oinkmasterによるルールセット更新の自動化は、まさにこの部分の自動化に他ならない。Oinkmasterを使うことによって、ユーザが手を加えた部分を保持した状態で、シグネチャを最新のものと置き換えることができるようになるのだ。設定によっては、更新を行った後に、ユーザが加えた修正を自動的に反映させるといったことも可能だ。また、Oinkmasterは詳細なログを出力するので、ルールセットの更新の内容を細かく把握することもできるようになる。もちろん、システムと連携させれば、定期的にルールセットの更新を行うように指定することもできる。

 なお、ルールセットのアップデート自体は、アンチウイルスソフトのパターンファイルほど頻繁には行われていないようだ。アップデートの内容については、ルールの新規追加は少なく、ルールの修正が大半である。修正の多くはルールの詳細化だ。ルールの修正だけでも誤検知が減少することがあり、結果的に、不正アクセスの兆候を見つけ出しやすくなる。ルールの新規追加が少なくても、ルールセットの更新は怠ってはいけないのだ。


●Oinkmaster導入の準備

 まず、Oinkmasterの動作環境について説明しよう。
 Oinkmasterは、いわゆる実行ファイルとして提供されるものではなく、Perlで書かれたスクリプトだ。そのため、動作環境としてPerl5がインストールされている必要がある。また、Perl以外に、tar、gzip、wgetが必要になる。
 tarはアーカイブファイルの作成・展開プログラムで、Oinkmasterがダウンロードしてきたルールセットのアーカイブファイルを展開する際に使われる。gzipはファイルの圧縮・伸長プログラムで、こちらは、Oinkmasterが既存の.rulesファイルを圧縮し、指定ディレクトリにバックアップする際に利用する。どちらもLinuxではスタンダードな存在であり、まずインストールされていないということはないはずだ。

【執筆:磯野康孝】

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×