[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:53057] 侵入検知システム「Snort」について

From: canon <kame55-itasenpara123@xxxxxxxxxxxxx>
Subject: [debian-users:53057] 侵入検知システム「Snort」について
Date: Sat, 26 Sep 2009 17:48:21 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level: *
X-spam-status: No, score=1.1 required=10.0 tests=GAPPY_SUBJECT,KI,PLING_QUERY, SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb3
Message-id: <1253954900.11773.65.camel@xxxxxxxxxxxxxxxxxxxxxxxxxx>
X-mail-count: 53057
X-mailer: Evolution 2.22.3.1

こんにちは、mejikoです。いつもお世話になります。先日の「バッファオーバー
フロー」の件について、とても参考になる情報をこ教示くださり、どうも有難う
ございました。

OSはDebian安定版（Lenny/Stable）の5.0.3です。

今日「snort」をインストールし設定を行い、現在「プロミスキャス」モードを
無効化（-pオプション付加）して運用しています。（セキュリティー的な理由か
らと、ルータの後ろなので、あまり必要ないかなと思ったからです。）

最初の疑問ですが、Snortのデフォルトはプロミスキャスモードでの起動です
が、万が一そこから第三者からスニファリングされて盗聴される、ということは
あるのでしょうか。なお、現在「ifconfig」の結果は「eth0」インターフェイス
が「UP BROADCAST RUNNING MULTICAST」でした（プロミスキャスモードではな
い？）。



次の疑問ですが、Debianパッケージのルールセットの更新はoinkmasterやDebian
付属のスクリプトを使うようですが、現在本家本元で配布されているルールセッ
トには、2.7用のルールセットがなく、2.8のルールセットしかありません。しか
も互換性がなく、そのまま入れてしまうとエラーが発生するそうです。

以下、参考URLです。（英文）

ルールセット開発元のブログ

http://vrt-sourcefire.blogspot.com/2009/02/important-snort-rule-changes-and-new.html

snort本家のフォーラム

https://forums.snort.org/forums/rules/topics/can-t-find-2-7-rules

ちなみにこれは「登録ユーザー向け」の「プロプライエタリ」なルールセットで
す。

ライセンスページのURLです。

https://www.snort.org/vrt/rules/vrt_license

https://www.snort.org/vrt/license-agreement/


また、コミュニティルール（GPL）もあるらしいですが、現在Snortの配布ページ
にありません。かつてはあったのですけど……。

ちなみにDebianのルールセットはコミュニティー版のルールみたいです。以下
「aptitude show snort-rules-default」の説明の一部です。

「Snort default ruleset which provides a common set of accepted and test
network intrusion detection rules developed by the Snort community.」 


しかしもうコミュニティルールが配布されていない今、このパッケージはどのよ
うにアップストリームやメンテナンスなどをしているのでしょうか……。


あとREADMEも一通り読みました。いろいろ案が提示されていましたが、unstable
版のsnortを借りてくるというのも安定性に影響しますし、lennyのバックポート
にもパッケージがありません。ルールセットのみの更新もこの理由で行うことが
できません。

#mejiko的には「非商用のみ使用可能」といったフリーでないライセンスは好き
ではないので、できればコミュニティー版を使いたかったのですが……。


このような場合、どうしてもルールセットの更新を行う場合は、サードパーティ
のルールセットを借りてくるか、たくさんの情報を元に自分で作るか、または
パッケージの更新まで待つしかないのでしょうか。ルールを作るにしても自信は
ありませんけど……。


長々として分かりにくい質問で申し訳ありません。もしお分かりの方はご教示よ
ろしくお願いします。

Follow-Ups:
- [debian-users:53060] Re: 侵入検知システム「Snort」について
  - From: 水原文
- [debian-users:53061] Re: 侵入検知システム「Snort」について
  - From: Kiyotaka ATSUMI
- [debian-users:53068] Re: 侵入検知システム「Snort」について
  - From: ikari-ml
- [debian-users:53078] Re: 侵入検知システム「Snort」について
  - From: Taku YASUI

Prev by Date: [debian-users:53056] WLI-U2-KG54での無線LAN接続
Next by Date: [debian-users:53058] Re: lenny でキーボードが認識されない
Previous by thread: [debian-users:53062] Re: WLI-U2-KG54での無線LAN接続
Next by thread: [debian-users:53060] Re: 侵入検知システム「Snort」について
Index(es):
- Date
- Thread