【無料ツールで作るセキュアな環境(10)】〜snortのルールセットのメンテナンス〜(執筆:office、みっきー) | ScanNetSecurity
2024.05.06(月)

【無料ツールで作るセキュアな環境(10)】〜snortのルールセットのメンテナンス〜(執筆:office、みっきー)

 前回でsnortのプリプロセッサとルールを組み合わせて、不要なトラフィックを無視できる仕組みを紹介した。snortを運用してゆくために必要な操作法については、前回までの記事でほとんど十分である。

特集 特集
facebookLINE
 前回でsnortのプリプロセッサとルールを組み合わせて、不要なトラフィックを無視できる仕組みを紹介した。snortを運用してゆくために必要な操作法については、前回までの記事でほとんど十分である。

 ところが、ネットワーク上での攻撃や不正利用の手法は、他の技術の進歩と同様毎日のように新たな手法が考え出され、実行されている。snortのように予め記述されたルールに従って異常検出を行う構造を持つIDSは、ルールの設定後に開発された新たな手法による攻撃や不正利用を検出することができない。そのため、定期的なルールセットのメンテナンスがとても重要な意味を持つ。

 前回の予告で、ルールの作成法について解説すると約束したが、先にルールセットのメンテナンスについて解説しよう。

 snortのホームページ http://www.snort.org では、ほぼ毎週のように新しいルールセットが発表されており、それらは
http://www.snort.org/Database/rules.asp から入手することができる。ここで入手できるルールセットは、snortのアーカイブに含まれているルール
セットと若干構成が違っているので、使用にあたっては注意が要る。また現在提供されている最新のルールセットはsnort-1.7以降にのみ対応となってい
る。

 ルールセットを実際にダウンロードするには上記URLからリンクで辿るか、 http://www.snort.org/snort-files.htm#Rules へ直接訪れ、以下のようなリンクを探し出しす。ルールセットが新しいものかどうかは改訂した日付の記載から判断できる。

Snort.org Rulesets: snortrules.tar.gz
UPDATED RULESET RELEASED 03/28/2001

 [snortrules.tar.gz]をクリックしてルールアーカイブをダウンロードし、適当な作業用ディレクトリを作成してそこにsnortrules.tar.gzをコピーした後に解凍する。

# tar -xvzf snortrules.tar.gz

 今回入手したルールセットは以下のような構成を取っている。構成自体はsnort添付のルールセットと同様であるが、いくつかのジャンル構成が変更・追加されており、またファイル名が変更されている。それぞれのジャンルはファイル名から推測することが可能である。

 原稿執筆時で最新の03/28/2001のルールアーカイブには何故かメインとなるsnort.confが含まれておらず、 http://www.snort.org/snort-files.htm#Rules で公開しているsnort.confが指定している構成が違うため、03/01/2001の
snortrules.tar.gzを例として解説する。

snort.conf      ルールセットのメインファイル
 |−local.rules   使用者がカスタマイズしたルールを記載する
 |−exploit.rules  バッファーオーバーフロー等の攻撃検出用ルール
 |−scan.rules   さまざまなスキャン行為検出用ルール
 |−finger.rules  fingerを利用した不正行為検出用ルール
 |−ftp.rules    ftpを利用した不正行為検出用ルール
 |−telnet.rules  telnetを利用した不正行為検出用ルール
 |−smtp.rules   smtpを利用した不正行為検出用ルール
 |−rpc.rules    rpcを利用した不正行為検出用ルール
 |−rservices.rules r系のサービスを利用した不正行為検出用ルール
 |−backdoor.rules 様々なバックドアを検出するためのルール
 |−dos.rules    DoSを検出するためのルール
 |−ddos.rules   分散DoSを検出するためのルール
 |−dns.rules    dnsを利用した不正行為検出用ルール
 |−netbios.rules  netbios関係の検出用ルール
 |−web-cgi.rules  cgiを利用した不正行為検出用ルール
 |−web-coldfusion.rules
 |   WebアプリケーションサーバColdFusionへの不正行為検出用ルール |−web-frontpage.rules
 |   MS-Frontpageを悪用した行為の検出用ルール
 |−web-misc.rules httpに関するさまざまな不正行為検出用ルール
 |−web-iis.rules  MS-IISサーバに対する不正行為検出用ルール
 |−icmp.rules   icmpに対するスキャン行為等の検出用ルール
 |−misc.rules   tracerouteやrootkitその他の検出用ルール


office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/

詳しくはScan本誌をご覧下さい。
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  6. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

ランキングをもっと見る
ホーム 特集 特集 記事
TOP