2009年9月26日

[debian-users:53057] 侵入検知システム「Snort」について

こんにちは、mejikoです。いつもお世話になります。先日の「バッファオーバー
フロー」の件について、とても参考になる情報をこ教示くださり、どうも有難う
ございました。

OSはDebian安定版(Lenny/Stable)の5.0.3です。

今日「snort」をインストールし設定を行い、現在「プロミスキャス」モードを
無効化(-pオプション付加)して運用しています。(セキュリティー的な理由か

らと、ルータの後ろなので、あまり必要ないかなと思ったからです。)

最初の疑問ですが、Snortのデフォルトはプロミスキャスモードでの起動です
が、万が一そこから第三者からスニファリングされて盗聴される、ということは
あるのでしょうか。なお、現在「ifconfig」の結果は「eth0」インターフェイス
が「UP BROADCAST RUNNING MULTICAST」でした(プロミスキャスモードではな
い?)。

次の疑問ですが、Debianパッケージのルールセットの更新はoinkmasterやDebian
付属のスクリプトを使うようですが、現在本家本元で配布されているルールセッ
トには、2.7用のルールセットがなく、2.8のルールセットしかありません。しか
も互換性がなく、そのまま入れてしまうとエラーが発生するそうです。

以下、参考URLです。(英文)

ルールセット開発元のブログ

http://vrt-sourcefire.blogspot.com/2009/02/important-snort-rule-changes-and-new.html

snort本家のフォーラム

https://forums.snort.org/forums/rules/topics/can-t-find-2-7-rules

ちなみにこれは「登録ユーザー向け」の「プロプライエタリ」なルールセットで
す。

ライセンスページのURLです。

https://www.snort.org/vrt/rules/vrt_license

https://www.snort.org/vrt/license-agreement/


また、コミュニティルール(GPL)もあるらしいですが、現在Snortの配布ページ
にありません。かつてはあったのですけど……。

ちなみにDebianのルールセットはコミュニティー版のルールみたいです。以下
「aptitude show snort-rules-default」の説明の一部です。

「Snort default ruleset which provides a common set of accepted and test
network intrusion detection rules developed by the Snort community.」


しかしもうコミュニティルールが配布されていない今、このパッケージはどのよ
うにアップストリームやメンテナンスなどをしているのでしょうか……。


あとREADMEも一通り読みました。いろいろ案が提示されていましたが、unstable
版のsnortを借りてくるというのも安定性に影響しますし、lennyのバックポート
にもパッケージがありません。ルールセットのみの更新もこの理由で行うことが
できません。

#mejiko的には「非商用のみ使用可能」といったフリーでないライセンスは好き
ではないので、できればコミュニティー版を使いたかったのですが……。


このような場合、どうしてもルールセットの更新を行う場合は、サードパーティ
のルールセットを借りてくるか、たくさんの情報を元に自分で作るか、または
パッケージの更新まで待つしかないのでしょうか。ルールを作るにしても自信は
ありませんけど……。


長々として分かりにくい質問で申し訳ありません。もしお分かりの方はご教示よ
ろしくお願いします。

投稿者 xml-rpc : 2009年9月26日 17:48
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/88968
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。