2009年9月28日

[debian-users:53077] Re: 侵入検知システム「Snort」について

mejikoです。皆様、返信ありがとうございます。

昨日ほど携帯電話のフルブラウザでこのやりとりを見させてもらいました。
tcp/ipの本が運良く手元にありました(初級シスアドの教習本でしたけど)の
で、じっくり読んで勉強していました。高橋さんの返信にもありました通り、


[debian-users:53070] Re: 侵入検知システム「Snort」についてから引用


> 私もセキュリティの勉強をするには、まずは『TCP/IPとはなんぞ
> や』をしっかり勉強することをお勧めします。
> まずは基礎=土台がしっかりしてないと、どんな建物も傾きますから…


という文章を読んで、少し納得したような気がします。やはり基礎は大切です
ね。今後、図書館等にいって、さらに勉強したいと思います。(詳しく読むと、
結構面白かったので)

あと、これらの本を読み、プロミスキャスモードやパケットについての知識も深
まりました。アドバイス有難うございました。Snortのログについては、ルール
セットの中身、tcpdumpのログも確認してみます。

# Snortの日本語版解説本が近くの本屋さんや図書館になかったのが残念で
す……。あれば欲しいくらいなのですけどね……。

> > > 私はsnortについてはパッケージ版ではなく,オリジナルからbuildすることを
> > > お勧めします.
> >
> >  利点はどのあたりでしょうか?
>
> 利点:
> ・パッケージが無いからといって悩まなくて済む.
> ・パターンファイルとかルールセットも最新のものが使える.
>
> 考慮点:
> ・ルールセットをいじったり,snortソースに拡張機能を追加したりすれば,結
>  局パッケージ管理から外れてしまう.あるいは独自パッケージを再作成する
>  ことになる.
>
> 欠点:
> ・snortに必要なライブラリやソフトウェアが自動インストールされないので,
>  何が必要かを見極めて関連パッケージをインストールするか,自前でbuild
>  するか決めなければならない.
> ・バージョンアップも手作業で行わなければならない.
> aptitude update; aptitude safe-upgradeほど簡単ではない.

なるほど。checkinstallでDebianのパッケージ管理の管轄内に入れても、やはり
関連パッケージとの依存性やバージョンアップ(OSも含む)の手間を考えると、
mejikoはやはりDebian純正のパッケージに頼ってしまいますね……。

これは他のパッケージでも同じことですよね。たとえで言うと、セキュリティソ
フトでかつ本体の更新の多いClamAVとか。しかしこれは「volatile」版で最新版
を提供することもあります。Snortも「Debian Volatile」版で提供はできないも
のなのでしょうかね……。

Debianの安定版の場合、バージョンアップは例外を除いて(Xulrunnerとかのモ
ジラ関連など)しないのが原則ですから、Snortバージョンに依存しているコン
ポーネント(ルールセットなど)の問題もかなり難しいですよね。

例えば「ルールセットが最新版しか対応しておらず、旧版のルールセット自体を
最新版に更新できない」とか。


このような問題は、Debianプロジェクトではどう対応しているのでしょうか?
ClamAVは「Debian Volatile」で対応してたりしますが。

# Debianへ「Wishlist」でバグ報告するのもあり? 安定版のポリシーにそぐわ
ないからなしかな?

碇さんへ([debian-users:53068] Re: 侵入検知システム「Snort」についてにつ
いての返信)


> 普通はDMZの中心のスイッチをインテリジェントスイッチにして、ミラーや
> SPAN
> を設定し、そこでキャプチャします。
>
> 他のサービスを提供しているホストで動かすのはなしだと思っています。
> 重くなるし。

mejikoは自ホストのみを監視対象にし、自分にくる攻撃をブロックしようと思い
入れました。別にネットワーク全体を監視対象にしてません。

それでも確かに重くはなります……。この手のソフトは重いのが難点ですね。メモ
リやCPUも高く積まないといけません。軽いのがあればよいのですけどね。(せ
めてポートスキャンといった「攻撃」検知のみでも……。ルールセット減らせば
OK?)

ちなみにメモリは2GBです。(自分自身もう2GB足したいほどですが、メモリス
ロットが埋まってしまっていて追加できない……)そんでもって、Snort稼働時の
メモリ使用率は、アイドル時は、約「890MB」ほどで、今までのピーク時は
「1.1GB」です。スワップは「2GB」で、ある程度越えたときにはそちらへ逃すよ
うにしている、ようです。(よくわかりませんが)

ある程度システムがスワップに逃すと、メモリ使用率は下がりました。これって
メモリが足りないのでしょうかね? もし足りないのならメモリをでかいものに
取り替えなければいけませんね。

投稿者 xml-rpc : 2009年9月28日 21:52
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/88931
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。