【無料ツールで作るセキュアな環境(22)】〜snort運用上の注意〜(執筆:office、みっきー)
「無料ツールで作るセキュアな環境」の第7回から続いたsnort関連の連載であるが、今回でひとまず snort を総括して締めくくりたい。
特集
特集
ネットワークの安全な運用にあたっては、これに対する攻撃手法やセキュリティホールが日々発見されており、これに対応してネットワークも常にメンテナンスし続けていかなければならない。侵入検知システムであるsnortは、このネットワークメンテナンスのために用いるためのツールの一つではあるが、他のネットワークツールにもましてきめ細かなメンテナンスが必要だ。
新たな攻撃手法が明らかになった場合、ネットワークソフトを修正するには、その長大なコードを検討して修正ソフトを開発し、そしてその修正ソフトが各マイナーバージョンや様々な環境下でも正しくできるか、修正後に攻撃をきちんと回避することができるか、修正後に他の機能に障害がでないかなどを丹念に検証しなければならない。
それに対して侵入検知システムは、その攻撃コードなどから対応する検知用ルールを作成することができ、また誤検知による多少の誤警報が許容される。従って検知用ルールの開発は、一般のネットワークソフトの修正ソフト開発よりも工数が少なくて済み、早い時期に検知用ルールがリリースされることが期待できる。
特にsnortはオープンソースであることから、特定コミュニティに依存することなく、多くの人々がメンテナンスに参加している。同様に多くの人々が検知用ルールのメンテナンスにも参加しており、毎日のように発表されるセキュリティ情報に遅れることなく対応する検知用ルールが発表されている。常に最新のルールが得られる事のメリットを生かすには、自システムのsnortのより頻繁なメンテナンスが必要であることを十分留意して欲しい。
snortは攻撃を検知した場合に、自動的にその通信を遮断する機能を有するが、誤検知の可能性が考えられるので、これらの機能を有効にすることは勧められない。snortが稼動しているからといって、そのネットワークが防御されているわけでは無いことを理解して欲しい。snortの発したアラートが誤報であるか否かの判断は必ず管理者が行い、それに従った正しい対応を行うべきである。それらの正しい判断および対応には、ネットワークに対する種々の知識と最新のセキュリティ情報に精通している必要があり、そしてsnortを含めたネットワークのメンテナンスを絶えず続けなければならない。
一般的に侵入検知システムはDDoS等の高負荷に弱いシステムだとされているが、機械的なシステムの処理能力の問題以前に、ネットワーク管理者というヒューマンシステムの処理能力が先に限界になることもありえるので、注意が必要ある。snortの運用はネットワークの高い安全性と可用性をもたらすが、同時に運用・メンテナンスのために相当量の工数が増加することを忘れないで欲しい。
office
office@ukky.net
http://www.office.ac/
みっきー
micky@office.ac
http://www.hawkeye.ac/micky/
[1] http://www.silicondefense.com/software/spice/index.htm
[2] http://www.whitehats.com/
[3] http://www.yk.rim.or.jp/~shikap/patch/
[4] http://www.hawkeye.ac/micky/network/snort_use.html
詳しくはScan本誌でご覧下さい
http://www.vagabond.co.jp/c2/scan/
《ScanNetSecurity》
