業務利用のIDSとしてのSnortを検証する 第2回:Snortのアーキテクチャ
●Snortのアーキテクチャ
特集
特集
Snortは複数のモジュールから構成されており、それぞれが協調して動作することにより、全体がNIDSとして動作するというアーキテクチャを採用している。今回は、Snortのアーキテクチャの概要について解説を行う。
全体の構成イメージを以下に図として示しておくので、事前に参照していただきたい。
https://www.netsecurity.ne.jp/img4/architecture.gif
(1)パケットデコーダ
パケットデコーダはパケットの取り込みを行うモジュールで、データリンク層レベルのパケット解析を行う。SnortはEthernetのみならず、FDDI やToken Ringなどにも対応しているが、ここでそのデータリンク層レベルの違いを吸収し、次のモジュールであるプリプロセッサが処理することができる形に整形するという役割を担っている。
設定可能な箇所もとんどなく、普通にSnortを利用する限りにおいては特に意識することはほとんどないだろう。
【執筆:NTT東日本セキュリティオペレーションセンタ 日吉 龍】
URL : http://www.bflets.dyndns.org/
著作物:不正侵入検知[IDS]入門 ――Snort&Tripwireの基礎と実践
http://www.gihyo.co.jp/books/syoseki.php/4-7741-1985-7
──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》