【無料ツールで作るセキュアな環境(22)】〜snort運用上の注意〜(執筆:office、みっきー) | ScanNetSecurity
2024.05.06(月)

【無料ツールで作るセキュアな環境(22)】〜snort運用上の注意〜(執筆:office、みっきー)

 「無料ツールで作るセキュアな環境」の第7回から続いたsnort関連の連載であるが、今回でひとまず snort を総括して締めくくりたい。

特集 特集
facebookLINE
 「無料ツールで作るセキュアな環境」の第7回から続いたsnort関連の連載であるが、今回でひとまず snort を総括して締めくくりたい。

 ネットワークの安全な運用にあたっては、これに対する攻撃手法やセキュリティホールが日々発見されており、これに対応してネットワークも常にメンテナンスし続けていかなければならない。侵入検知システムであるsnortは、このネットワークメンテナンスのために用いるためのツールの一つではあるが、他のネットワークツールにもましてきめ細かなメンテナンスが必要だ。

 新たな攻撃手法が明らかになった場合、ネットワークソフトを修正するには、その長大なコードを検討して修正ソフトを開発し、そしてその修正ソフトが各マイナーバージョンや様々な環境下でも正しくできるか、修正後に攻撃をきちんと回避することができるか、修正後に他の機能に障害がでないかなどを丹念に検証しなければならない。

 それに対して侵入検知システムは、その攻撃コードなどから対応する検知用ルールを作成することができ、また誤検知による多少の誤警報が許容される。従って検知用ルールの開発は、一般のネットワークソフトの修正ソフト開発よりも工数が少なくて済み、早い時期に検知用ルールがリリースされることが期待できる。

 特にsnortはオープンソースであることから、特定コミュニティに依存することなく、多くの人々がメンテナンスに参加している。同様に多くの人々が検知用ルールのメンテナンスにも参加しており、毎日のように発表されるセキュリティ情報に遅れることなく対応する検知用ルールが発表されている。常に最新のルールが得られる事のメリットを生かすには、自システムのsnortのより頻繁なメンテナンスが必要であることを十分留意して欲しい。

 snortは攻撃を検知した場合に、自動的にその通信を遮断する機能を有するが、誤検知の可能性が考えられるので、これらの機能を有効にすることは勧められない。snortが稼動しているからといって、そのネットワークが防御されているわけでは無いことを理解して欲しい。snortの発したアラートが誤報であるか否かの判断は必ず管理者が行い、それに従った正しい対応を行うべきである。それらの正しい判断および対応には、ネットワークに対する種々の知識と最新のセキュリティ情報に精通している必要があり、そしてsnortを含めたネットワークのメンテナンスを絶えず続けなければならない。

 一般的に侵入検知システムはDDoS等の高負荷に弱いシステムだとされているが、機械的なシステムの処理能力の問題以前に、ネットワーク管理者というヒューマンシステムの処理能力が先に限界になることもありえるので、注意が必要ある。snortの運用はネットワークの高い安全性と可用性をもたらすが、同時に運用・メンテナンスのために相当量の工数が増加することを忘れないで欲しい。


office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/

[1] http://www.silicondefense.com/software/spice/index.htm
[2] http://www.whitehats.com/
[3] http://www.yk.rim.or.jp/~shikap/patch/
[4] http://www.hawkeye.ac/micky/network/snort_use.html

詳しくはScan本誌でご覧下さい
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

ランキングをもっと見る
ホーム 特集 特集 記事
TOP