Snort を IDS として動作させる場合、不正パケットを検出するためのルールセット(シグネチャ)ファイルが必要になります。 Snort は、監視しているパケットにルールセットにマッチするパターンのパケットを見つけると設定された何らかのアクションを起こします。
クラッカーの不正アクセスパターンは、コンピュータウイルスと同様、一定ではないためルールセットは常に最新の常態に保つ必要があります。
2005年 3月 9日付けで Snort ルールセットのライセンス形態が変更され、以前紹介していた方法ではルールセットを更新する事が出来無くなりました。
参照 => http://www.snort.org/rules/
ルールセットは大きく従来のコミュニティベースで提供されるものと VRT(セキュリティ専門家チーム)により検証されたルールセットに分けられました。VRT ルールセットはライセンスを取得しなければ利用する事が出来ないので注意が必要です。
ルールセットは以下の4つのタイプに分類できます。
従来の Snort Community により提供されるルールセットです。Snort 公式サイトから自由にダウンロードする事が出来ます。更新も活発です。以下から自由にダウンロードすることが出来ます。
URL => http://www.snort.org/pub-bin/downloads.cgi
Vulnerability Research Team (VRT) により検証されたルールセットです。VRTルールセットは、以下の3つ方法で提供されています。
ここでは、5日遅れと制限はありますが、無料で利用できる質の高い VRT ルールセットを利用する方法を説明します。と言っても Community Rules の場合は、更新ツール Oinkmaster で Oinkコードを入力する必要がないだけでその他は同じです。
VRT ルールセットをダウンロードするには、ユーザー登録が必要になります。また、Oinkmaster を利用してアップデートを自動的に行う場合、Oink コードを取得する必要があります。
本家Webサイトで行う手順は以下の通りです。
Oinkコードが取得できたら、Oinkmaster で設定されているルールセットのダウンロードパスを変更することでルールセットの自動更新が可能になります。
実際に www.snort.org で行う手続きを順を追って説明します。
2005年 3月時に取得した時のキャプチャですので、現在は異なっているかも知れません。
まず、Snort ORG へアクセスし、画面左下の"NOT REGISTERED" をクリックします。 クリックすると以下のフォーム画面が表れますので、必須項目を入力します。
Forum Alias はフォーラム参加時のニックネームとなります。 任意で指定し下さい。
ライセンス規約同意にチェックを入れ、
[ Register ] ボタンを押します。
登録したメールアドレスに、パスワードが送られて来ます。これはライセンスコードではありませんので注意して下さい。
Account に登録したメールアドレスと送られて来たパスワードを入力後、ログインボタンを押して、ログインします。
ログインを行うと、ページ下にOinkmakerを使ってルールセットをアップデートする際の設定について説明されています。
まず、Get Code ボタンを押すとOinkコードが表示されます。 このコードがルールセットファイルのダウンロードパスと置き換えることになります。.
これで、Oinkmaster がルールファイルダウンロードに必要な Oinkコードが得られました。次は、Oinkmaster のセットアップを行います。