●ルールの概要を理解し、ネットワークの監視を強化する |
各自のネットワーク環境に合わせてルールを強化し、誤検知を減らすことができれば、IDSとしての機能が向上する。もちろん、利用している環境によってルールの選択はさまざまということになるが、たとえばブロードルータを別に設置していて、フィルタリングが可能な環境の場合、ブロードバンドルータのバーチャルホスト機能などを利用し、ポート80のみを外部に公開しているのであれば、サーバ側ではHTTPに関するルール以外は必要がないのはお分かりいただけるだろう。逆に、ルータなどでフィルタリングされていない環境で、メールサーバやWebサーバなどを外部へ運営している場合には、SMTPやHTTPトラフィックをpassにして不要なログは残さなようにし、誤検知を減らす努力が必要になるだろう。ログを見ながら必要と思われるルールセットやルールを適宜選択していこう。
●GUI環境でのルールファイル編集−sneakymanの導入− |
X Windowを利用しているのであれば、第2回に紹介したRazorBackと同様に、「sneakyman」などのツールを利用することで、GUI環境でルールファイルの編集や新規作成が行える。既存のルールファイルを編集するためには、メニューより「開く」を選択し、/etc/snort以下にある編集したルールセットを選択すればよい。新規ルールファイルは「New Rule」をクリックして同様に作成し、保存したあとにsnort.confを編集し、作成したルールファイルを利用できるようにして再起動しておこう。
○tarballからのインストール $ wget http://telia.dl.sourceforge.net/sourceforge/ sneak/sneakyman-beta0.99.tar.gz $ tar xvzf sneakyman-beta0.99.tar.gz $ cd sneakyman-beta0.99 $ make $ su password: # make install |
○RPMからのインストール
$ wget http://telia.dl.sourceforge.net/sourceforge/ sneak/sneakyman-beta0.99-2.i386.rpm $ su password: # rpm -ivh sneakyman-beta0.99-2.i386.rpm |
写真1■sneakymanでweb-cgi.rulesを読み込んだところ。それぞれの条件を設定するだけで、新規作成、変更が可能だ |
[TTS、ITmedia]
5/5 |