【無料ツールで作るセキュアな環境(15)】〜snortのlog 1〜(執筆:office、みっきー)
前回までsnortを動作させるための設定方法を主に解説してきた。今回からは少し趣向をかえて、snortが出力するログを読む方法について解説しよう。
snortを標準の状態で運用すると、/var/log/snortに以下のような形式で、ルールにマッチしたトラフィックを記録してゆ
特集
特集
snortを標準の状態で運用すると、/var/log/snortに以下のような形式で、ルールにマッチしたトラフィックを記録してゆく。
172.16.102.126 172.16.205.162 172.17.120.12 alert
172.21.118.69 172.25.47.89 172.29.12.115
他にも、portscanのプリプロセッサを有効にしていれば、プリプロセッサで渡したパラメータで指定されたファイルにポートスキャンのログを保存する。
もしもsnortを設置したホストに対して、外部よりスキャンや攻撃などが行われていれば、snortは/var/log/alertファイルにいくつかのアラートを記録する。
たとえば下のアラートは、172.25.47.89が192.168.0.1のftpサーバにアクセスしようとしたが、不正な認証情報であったため、Login incorrectメッセージと共にアクセスが拒否されたことを示すものである。
[**] IDS364 - FTP - Bad Login [**]
02/28-23:54:20.725354 192.168.0.1:21 -> 172.25.47.89:2743
TCP TTL:64 TOS:0x10 ID:28152 IpLen:20 DgmLen:74 DF
***AP*** Seq: 0x78AB69A1 Ack: 0x77C687DF Win: 0x7D78 TcpLen: 32
TCP Options (3) => NOP NOP TS: 79087804 134385968
1行目はアラートのメッセージである。これはftpサーバ上で認証エラーが発生したことを検出したことを示している。続く2行目に該当するトラフィックを検出した時間、送信元、受信先のホストそれぞれのIPアドレスとサービス番号が記録されている。以降の行にはそのパケットのシーケンス番号やパケット長などの詳しい情報が記録されている。
また、-d オプションを使用してsnortを起動しているのであれば、/var/log/snort/172.25.47.89/のように通信先のIPアドレスを名前としたディレクトリが作成され、その配下に下のようにアラートと共にアプリケーションレイヤのデータを記録したファイルが作成される。
[**] IDS364 - FTP - Bad Login [**]
02/28-23:54:20.725354 210.161.204.218:21 -> 211.252.31.66:2743
TCP TTL:64 TOS:0x10 ID:28152 IpLen:20 DgmLen:74 DF
***AP*** Seq: 0x78AB69A1 Ack: 0x77C687DF Win: 0x7D78 TcpLen: 32
TCP Options (3) => NOP NOP TS: 79087804 134385968
35 33 30 20 4C 6F 67 69 6E 20 69 6E 63 6F 72 72 530 Login incorr
65 63 74 2E 0D 0A ect...
このファイルを参照することにより、そのアラートの元となったトラフィック内にどのようなデータが流れていたのかを知ることができる。
通常の管理であれば、これらのalertファイルに目を通して、不信なアラートに注意するだけで良い。
ところが困ったことに、alertファイルに記録されるアラートは全てが不正行為ではない。通信元に不正行為の意識がなくとも偶然ルールセットの条件にマッチしてしまい、アラートとして記録されてしまう場合も多々ある。いわゆる誤検知と呼ばれるものである。
office
office@ukky.net
http://www.office.ac/
みっきー
micky@office.ac
http://www.hawkeye.ac/micky/
詳しくはScan本誌をご覧下さい
http://www.vagabond.co.jp/c2/scan/
《ScanNetSecurity》
