Snort ルールセット ～VRTライセンスの取得について

Snort を IDS として動作させる場合、不正パケットを検出するためのルールセット（シグネチャ）ファイルが必要になります。　Snort は、監視しているパケットにルールセットにマッチするパターンのパケットを見つけると設定された何らかのアクションを起こします。

クラッカーの不正アクセスパターンは、コンピュータウイルスと同様、一定ではないためルールセットは常に最新の常態に保つ必要があります。

ルールセットの種類とライセンスの変更

2005年 3月 9日付けで Snort ルールセットのライセンス形態が変更され、以前紹介していた方法ではルールセットを更新する事が出来無くなりました。

参照 => http://www.snort.org/rules/

ルールセットは大きく従来のコミュニティベースで提供されるものと VRT（セキュリティ専門家チーム）により検証されたルールセットに分けられました。VRT ルールセットはライセンスを取得しなければ利用する事が出来ないので注意が必要です。

ルールセットは以下の4つのタイプに分類できます。

Community Rules

従来の Snort Community により提供されるルールセットです。Snort 公式サイトから自由にダウンロードする事が出来ます。更新も活発です。以下から自由にダウンロードすることが出来ます。

URL => http://www.snort.org/pub-bin/downloads.cgi

Sourcefire VRT Certified Rules.

Vulnerability Research Team (VRT) により検証されたルールセットです。VRTルールセットは、以下の3つ方法で提供されています。

• Subscribers　（有料）
  • http://www.snort.org/pub-bin/downloads.cgi#SUB
  • VRTにより検証された地点でリアルタイムに提供される有料のルールセットです。特に狙い撃ちにされることの多い企業向けライセンスです。ダウンロード頻度は今のところ制限がありません。
  • $195/month   $495/quarter   $1795/year
• Registered　（無料）　今回はこれを利用
  • http://www.snort.org/pub-bin/downloads.cgi#VRT
  • 上記ルールセットの5日遅れで提供されます。更新のためのダウンロードに時間制限があります。15分以上、間を開けなければダウンロードできません。頻繁に更新される訳ではないので、この時間制限は特に大きな制限ではありません。また、利用にはユーザー登録が必要になります。
• Unregistered　（無料）
  • http://www.snort.org/pub-bin/downloads.cgi#PR
  • 提供される Snort に付属するルールセットで静的な更新となります。
  • 注） Snort-2.6.x 以降、 snort 本体にルールセットは含まれなくなっています。

ここでは、5日遅れと制限はありますが、無料で利用できる質の高い VRT ルールセットを利用する方法を説明します。と言っても Community Rules の場合は、更新ツール Oinkmaster で Oinkコードを入力する必要がないだけでその他は同じです。

VRT ライセンスコードを取得するには

VRT ルールセットをダウンロードするには、ユーザー登録が必要になります。また、Oinkmaster を利用してアップデートを自動的に行う場合、Oink コードを取得する必要があります。

取得までの一連の流れ

本家Webサイトで行う手順は以下の通りです。

1. 本家 www.snort.org でユーザー登録を行います。
2. 送られて来たパスワードでログインします。
3. ログイン後、 自動更新に必要な Oinkコード を取得します。
   （最新のルールファイルはダウンロード可能です）

Oinkコードが取得できたら、Oinkmaster で設定されているルールセットのダウンロードパスを変更することでルールセットの自動更新が可能になります。

Snort.org ユーザー登録

実際に www.snort.org で行う手続きを順を追って説明します。

2005年 3月時に取得した時のキャプチャですので、現在は異なっているかも知れません。

まず、Snort ORG へアクセスし、画面左下の"NOT REGISTERED" をクリックします。 クリックすると以下のフォーム画面が表れますので、必須項目を入力します。

Forum Alias はフォーラム参加時のニックネームとなります。 任意で指定し下さい。

ライセンス規約同意にチェックを入れ、
[ Register ] ボタンを押します。

登録したメールアドレスに、パスワードが送られて来ます。これはライセンスコードではありませんので注意して下さい。

Account に登録したメールアドレスと送られて来たパスワードを入力後、ログインボタンを押して、ログインします。

ログインを行うと、ページ下にOinkmakerを使ってルールセットをアップデートする際の設定について説明されています。

まず、Get Code ボタンを押すとOinkコードが表示されます。 このコードがルールセットファイルのダウンロードパスと置き換えることになります。.

これで、Oinkmaster がルールファイルダウンロードに必要な　Oinkコードが得られました。次は、Oinkmaster のセットアップを行います。

この標題のトップへ　１ / ２