Snort(スノート)とは、ネットワーク型IDS(不正侵入検知システム)です。ネットワーク上を流れるパケットをキャプチャーして、不審なパケットの検出を行います。

オープンソースのセキュリティソフト/Snortとは

Snort(スノート)とは、ネットワーク型IDS(不正侵入検知システム)です。ネットワーク上を流れるパケットをキャプチャーして、不審なパケットの検出を行います。

基本情報

概要

Snort(スノート)とは、ネットワーク型IDS(不正侵入検知システム)です。ネットワーク上を流れるパケットをキャプチャーして、不審なパケットの検出を行います。

IDS(侵入検知システム)とは

「IDS」とは「Intrusion Detection System」の略で、日本語では「不正侵入検知システム」と訳されます。ネットワーク上を流れるパケットを解析して、不正パターンに合致するパケットを検知したら警告を発します。

2つのIDSタイプ ネットワーク型とホスト型

IDSを大別すると、「ネットワークを監視するネットワーク型IDS」と「サーバ自体を監視するホスト型IDS」があります。

異常に気づける

IDSのメリットは「異常に気付かせてくれる」ことです。IDSを導入していない場合では、よほどの事態にならない限り、気づけません。

IDSの基本機能は侵入検知であるため、検知後の処理は、管理者が対策を講じる必要があります。

不正侵入検出の仕組み

不正侵入検出ソフトウェアは、「ネットワーク上を流れるパケット」と「さまざまな攻撃手法を収めたデータベース(シグネチャ/ルール)」を比較して攻撃を検出します。

最新のシグネチャにUPDATEし続ける必要があります。

誤検出

実際に運用する場合、誤検出はどうしても避けられないため、シグネチャ調整が必須です。

ファイアウォールも一緒に

セキュリティ上、「ファイアウォール」と「IDS」の両方を設置しておくことが望ましいとされています。

Snort基本説明

Snortは、ネットワーク型の不正侵入検知システムです。

TOPに戻る

主な特徴

パケットスニファ/パケットロガー機能

Snortは、次の使い方もできます。
1.パケットスニファ (パケットアナライザ:パケットを捕捉して表示する機能)
2.パケットロガー (パケットログを記録する機能)

プリプロセッサ

Snortには「プリプロセッサ」という仕組みがあります。

処理の順番は次のとおりです。
1.パケットデコード
2.プリプロセッサ
3.Snort侵入検知エンジンの実行

プリプロセッサでは、次のような事前処理を行えます。
・Telnetの制御文字を正規化
・ポートスキャン検出
・TCPストリーム再構築とステートフル解析 など

アウトプットプラグイン

Snortには、豊富なアウトプットプラグインが用意されています。

さまざまな形式でのアラート出力が可能です。
・テキスト形式
・バイナリ形式
・XML
・データベース出力 など

マルチプラットフォーム

Snortは主要な各種OSで動作します。

各種プロトコル対応

Snortは「TCP」「UDP」「ICMP」「IP」の解析を行えます。それ以外のプロトコルは、記録のみ行われます。

不正侵入防止(IPS)機能

Snortは「Inlineモード」で起動することで、IPS(Intrusion Prevention System:不正侵入防止システム)としても動作できます。

IPSは、不正パケットを破棄することで不正アクセスを自動的に防止します。

シグネチャファイル

シグネチャ(攻撃パターン検出定義ファイル)は、常に最新のものを適用し続ける必要があります。

シグネチャファイルには、「コミュニティベースシグネチャファイル」と、「VRT(セキュリティプロフェッショナル チーム)により検証されたシグネチャファイル」があります。

TOPに戻る

導入事例

理化学研究所のSnort導入事例です。
→理化学研究所 情報基盤センター →オープンソースIDSの導入事例

TOPに戻る

ライセンス情報

Snortのライセンスは「GNU General Public License Version 2」と「Proprietary Snortの非商用使用ライセンス」です。詳細はこちらを参照ください。
→Snortオフィシャルサイト →License

TOPに戻る

ダウンロード

→Snortオフィシャルサイト →Downloads

TOPに戻る

参考元サイト

→Snortオフィシャルサイト(英語)
→@IT →Snortでつくる不正侵入検知システム(1):不正侵入検知システムを知る
→稲葉サーバーデザイン →Snortを利用したIPSの構築
→ITNAVI.com →Snort とは
→IDS →Snortとは?
→Linuxサーバ構築ガイド →FC2/4/CentOS4 で構築する不正侵入検知システム

TOPに戻る

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。

Snort最新TOPICS

最新情報はありません。

Snort最新CLOSEUPコラム

  • オープソース書籍(サイド)
  • OSSNEWSに広告を掲載しませんか?

facebook

twitter