【無料ツールで作るセキュアな環境 (7)】〜snortの簡単インストール〜(執筆:office)
今回記事より侵入検知システム用ツールとして最も有名なsnort [1]を取り上げる。
特集
特集
[snortの概要]
侵入検知システム(IDS:Intrusion Detection System)とは、コンピュータおよびネットワークに対するセキュリティ侵害の検知を行うシステムのことである。IDSツールの一つであるsnortはネットワーク・ケーブル上を流れるパケットをモニタするNIDS (Network Intrusion Detection System)というタイプに属する。
snortはMarty Roeschを中心にして開発されており、GNU General Public Licenseに従って配布されている。その機能はホストマシンへの入力パケットを解析し、予め登録されているルールあるいはシグネチャとパターンマッチングを行い、システムへの侵入を検知するというものだ。注意しなければならないのは、snortはどのように侵入が試みられたかをlogに記録してはいるが、侵入行為そのものを阻止する働きはないということである。
snortの対象プラットホームは幅広く、Linux, OpenBSD, FreeBSD, Solaris, SunOS 4.1.X, HP-UX, AIX, IRIX, Tru64, MacOS X Server, あるいはWindows 95/98/NT4/2000という多くの環境で動作確認がなされている。本snort解説記事では当面Linuxでの運用を例にとって説明する。
snortが動作するためにはlibpcapがインストールされていることが必要である。またsnortにはopensslを必要とするオプションモジュールが存在する。opensslはhttpsやssh等の暗号化された通信を実現するためにも必要となるものなので、是非ともopensslをインストールすることをお勧めする。一部の
ディストリビューションでは、libpcap、opensslがパッケージとして準備されている。その状況で、さらにsnortもパッケージが準備されている場合には、すべてをパッケージから導入した方が、ディストリビューションとしての整合性を取るためには良い方法である。
[libpcap]
libpcap (library for packet capture) はLANケーブル上のパケットをモニタリングするUNIXシステムにおいて使用可能な一般的なライブラリだ。
libpcapはsnortに限らずほとんどの侵入検知ツールがこのライブラリを利用して作動する。
libpcapはRedHat6.2では標準で含まれている。またrpmパッケージを
http://www.redhat.com/swr/i386/libpcap-0.4-29.i386.html
から入手することもできる。
libpcapを自分で構築する場合、libpcapは以下のサイトで入手できる。
http://www.tcpdump.org/release/
本原稿を執筆時点での最新ソースアーカイブ名は libpcap-0.6.2.tar.gz である。そして次のようにしてインストールできる。
$ tar xvzf libpcap-0.6.2.tar.gz
$ cd libpcap-0.6.2
$ ./configure
$ make
office
office@ukky.net
http://www.office.ac/
みっきー
micky@office.ac
http://www.hawkeye.ac/micky/
[1] http://www.snort.org/
(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/c2/scan/
《ScanNetSecurity》