IDS(Intrusion Detection System)の代表的なものに、「snort」が挙げられますが、なにしろ設
定が大変そう。
そこで、この板の住人で自信がある人が集って、知恵を出し合う場を私が提供致しますので、
みなさん積極的な参加をお待ちしております。
「以下参考」
日本snortユーザー協会
http://www.snort.gr.jp/
snortの導入
http://jem.serveftp.com/
※ ノートンやマカフィーに頼って論議している厨房の方の参加は固くお断りいたします。
※ 荒しも厳禁。
BlaCKICEあたりだとSnortと同じで定義ファイル更新して防御までやってくれるんだけど
コマンド入力マンドクセなのでGDIツール落としてそれで設定したりして使ってたけど…
その時気づいた。「あぁ、コマンド入力マンドクセな奴は使えないソフトなんだな・・」と。
今は反省している。
誰かが完全日本語化をしてくれてチュートリアル作ってくれて日本語ヘルプ作ってくれたりログも
何もかも全部日本語化してくれたら使えそう。
初めてLinuxをインストールしようとして悪戦苦闘したような感じと似ていました。俺にはsnortなんてムリムリです。
英語嫁内定脳が、コマンド入力マンドクセって言い訳してるだけかよ。
試しに入れてみろ、と言われそうだが、今より何が良くなるのか
解説サイトみてもよく分からないんだよなぁ・・・
snortだとフリーソフトってのとWin以外のプラットフォームで
ルールセットが使い回せるってメリットはあるが。
BlackICEだと検知ルールがどの程度書けるのかよくしらんけど。
あれ、今は定義ファイルをダウンロードするのにユーザー登録か何かしなきゃいけないの?
登録しないと落とせないようになったね。
クレカ入力要求された・・・
誰か・・
ttp://www.snort.gr.jp/MLarchive/snort-users-jp/2005-March/001554.html
ウイルス対策ソフトの検出力結果
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html
●●..●..●●.●●....●.●●.●.●●●●●..●.●●●...●..●●.●....●●
防御してくれるはずだが
設定の仕方がわからんね
PersonalFireWallとして動かすことを考えるなら、商用のNortonやBlackICEを使う方がよろし。Snort使っても意味ないっしょ。
iptablesでsnort-inlineに飛ばしてdrop
clamavでも drop してくれるようだ
オープンソースではあるけど、完全にユーザの手を離れてしまったな。
他のIDS, IPSと比べても技術的優位性も特にない。
この現状をどうするのか知りたいなと
Snort に危険な脆弱性
yooseeによる 2005年10月19日 13時00分の掲載
盾が刃に変わるとき部門より.
バグ
セキュリティ
yosshy曰く、"ITmedia の記事より。
オープンソースのネットワーク侵入検知システム「Snort」の
バージョン 2.4.0〜2.4.2 に含まれる Back Orifice プリプロセッサに、
バッファオーバフローの脆弱性が発見された(JPCERT/CC の注意喚起)。
この脆弱性は UDP パケット1つで簡単に悪用できる上、
Back Orifice のデフォルトポート 31337/UDP に限定されないため、
ワームの拡散に繋がる恐れがあると指摘されている。
対策としては Back Orifice プリプロセッサを無効化するか、
バージョン 2.4.3 にアップグレードする事。利用サイトでは早急な対処が必要だ。
ITmedia
ttp://www.itmedia.co.jp/news/articles/0510/19/news014.html
登録すれば今までどおり普通に使えてるし。
現状、特に気にしなくて良いんじゃね?
だから平静なんだよ。なので、23も25も、餅付け。
てか、がんがれ
# ls -l
drwxr-xr-x 10 root wheel 1024 Nov 6 06:38 snort-2.4.3
-rw-r--r-- 1 root wheel 2733590 Nov 6 06:35 snort-2.4.3.tar.gz
-rw-r--r-- 1 root wheel 789097 Nov 6 06:54 snortrules-pr-2.4.tar.gz
そして
[**] [1:1384:8] MISC UPnP malformed advertisement [**]
[Classification: Misc Attack] [Priority: 2]
11/06-18:21:44.000069 192.168.0.1:1900 -> 239.255.255.250:1900
UDP TTL:4 TOS:0x0 ID:20116 IpLen:20 DgmLen:296 DF
Len: 268
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0877][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0876][Xref => http://www.securityfocus.com/bid/3723]
>>26
>>26
snortが動いてる姿は
# ps -ax | grep snort
23009 ?? Is 0:27.94 /usr/local/snort/bin/snort -D -i fxp0 -c /usr/local/snort/etc/snort.conf -K ascii -t /var/log/sno
2319 p0 D+ 0:00.01 grep snort
http://www.ne.jp/asahi/diver/hrk/openbsd/s-snort.html が詳しい。
CPUよりもメモリ重視の方がいいかね
できるだけ取りこぼしたくないんだが
20Mビット/secものトラフィックで取りこぼすのはある程度仕方ないとは思うんだが
cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4nantarakantara6/snortrules-snapshot-2.4.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
な感じ。
20Mビット/secは どうやっったらわかるの?
俺のは
# dmesg | grep mem
real mem = 133799936 (130664K)
avail mem = 115466240 (112760K)
using 1658 buffers containing 6791168 bytes (6632K) of memory
# dmesg | grep cpu
cpu0: Intel Pentium/MMX ("GenuineIntel" 586-class) 200 MHz
cpu0: FPU,V86,DE,PSE,TSC,MSR,MCE,CX8,MMX
cpu0: F00F bug workaround installed
cpu0 at mainbus0
と低いスペック。
[**] [1:1715:6] WEB-CGI register.cgi access [**]
[Classification: access to a potentially vulnerable web application] [Priority: 2]
11/10-04:32:54.964684 192. :64753 -> 199. :80
TCP TTL:63 TOS:0x0 ID:25325 IpLen:20 DgmLen:511 DF
***AP*** Seq: 0x82154508 Ack: 0x30C580B5 Win: 0x5B4 TcpLen: 32
TCP Options (3) => NOP NOP TS: 371408 3315054125
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0076][Xref => http://www.securityfocus.com/bid/2157]
https://www.snort.org/pub-bin/register.cgi で登録しないといけないよ。
今
cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4-nantara-kantara-6/snortrules-snapshot-CURRENT_s.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
に代えた。
なお4-nantara-kantara-6は https://www.snort.org/pub-bin/register.cgiのpassword だよ。
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4ふぉげ6/snortrules-snapshot-CURRENT_s.tar.gz
wget http://www.bleedingsnort.com/bleeding.rules.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
tar xvzf bleeding.rules.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
してから
/usr/local/snort/etc/snort.conf に <
include $RULE_PATH/bleeding-attack_response.rules
include $RULE_PATH/bleeding-dos.rules
include $RULE_PATH/bleeding-exploit.rules
include $RULE_PATH/bleeding-game.rules
include $RULE_PATH/bleeding-inappropriate.rules
include $RULE_PATH/bleeding-malware.rules
include $RULE_PATH/bleeding-p2p.rules
include $RULE_PATH/bleeding-policy.rules
include $RULE_PATH/bleeding-scan.rules
include $RULE_PATH/bleeding-virus.rules
include $RULE_PATH/bleeding-web.rules
をくわえて、snort再起動ではどうかな
修正希望
down=`ps -ax | grep snort | grep ascii`
if [ -z "$down" ]; then
/usr/local/snort/bin/snort -D -i fxp0 -c /usr/local/snort/etc/snort.conf -K ascii -t /var/log/snort -u snort -g snort
fi
Win版のAirSnort使ってる方おります?
DWL-650使えと言うんだけど、互換チップで最近の
802.11a/b/g対応のPCカードってどんなのありますか?
家のはorinocoのドライバモードで一応動いてはいるんですけど
詳しい方おながいします
12/31/04 - Cisco users on Windows should choose the DWL-650 card type
という文面から >>87 と訳してるようじゃ、使いこなせっこない。
ちょっとバージョン古いけど・・消そうとするとほかのツールに必要だからとかでて消せないし・・・
あと、snortを公式からDLしてインストールしようとしたんだけどmake時に何箇所か〜が見つかりませんってでるけどこれやばいんですかね?
OSはインストールしたばかりの状態なんですが。
このまま無視してインストールして設定を終えた後、起動コマンドをいれてもなにもおきないんですよね・・・
http://jem.serveftp.com/security/index.html
このサイトの導入方法を参考に進めていったのですがうまくいきません。なんだか途中で微妙に間違ってるとこも修正してみたんですがどうにもなりません。
情報がすくないですがどなたか助言いただけないでしょうか?
それとログの出力をIPアドレスだけにってできないんですかね〜?現在調べながら設定中ですがなかなか難しいですね^^;
PC版をインストールしてみたのだけど、ためしに起動するときに、-iの
パラメータはどのように設定するのか教えていただけますか?。
UNIX版ではeth1とか指定してNICの指定を行うようなのですが?。
実NICの対応がわかるんではないかな?
あと、こんなのもあるな。
http://www.stillsecure.org/
現在VineLinux3.2環境でMySQLを有効にしたsnortを使っているのですが
snort.confにて
output database: log, mysql, user=xx password=xx dbname=snort host=localhost
と設定してあるにもかかわらず/var/log/snort以下へ書き込みに行ってしまっている
状況です。
MySQL側ではsnort用のユーザとDBを用意し、権限もGRANT以外は有効にしてある
んですが…
何か間違っているところや設定不足なところがあるようでしたらお願いします。
ちなみにsnortの構築は rpmbuild --with-mysql -ta で2.4.3のtarballから行いました。
1.mysqlが実は動いていない
2.mysqlにテーブルつくってない
3./var/log/snort/alertもかかれているだけで mysql -u xx -p snort して
select * from event; したら書かれてる
mysql -u xx -p snortで
show tables;
でちゃんとテーブルつくられてんの?
openaanvalがいつのまにか aanvalオンリーになっててちょっとショック
レスありがとうございます。
1.ps xaで確認したところ動いています。同じPCでwebも動かしてますが、そちらのPHPからは
ちゃんとMySQLにアクセスできています。
2.dumpしましたがちゃんと作られていました。
3.コマンドライン/phpMyAdmin両方から確認しましたが、出力されませんでした。
show tables; の結果ですが、16のテーブル(data/detail/event/iphdrなど)は作られています。
ちなみにuser/passwordはデフォルトとは変更してありますが、mysql -u xx -p snort でDBに
アクセスできることは確認しています。
みたりしたけど、結局解決せず…
結局ログを自力で解析するスクリプト作って解決させますた…
http://hlbr.sourceforge.net/index-jp.html
In-lineで動かしたSnortとはまた別のことができるのね。
存在価値ないだろ。
分からないながらもルールはまじめに更新したほうがいいかと思い、oinkcodeとやらを使おうと考えているのですが、
いくつか自分で書き換えて(ruletypeをalertからpassにした程度です)しまっているルールがあり、
これがルールの更新で上書きされてしまうのでは…と思い躊躇しています。
modifysidとかenablesidとかを使えばoinkcodeを使っても独自のルールも生き残れるような気がするのですが、
このへんのことが解説されている情報が見つけられなくて困っています。
ご存知名方がいらっしゃったらご教示いただければ幸いです。
(的外れなことを書いているようでしたら容赦なくご指摘ください)
シグネチャ更新ツールは、oinkcodeじゃなくてoinkmasterじゃない?
で、やりたいことはmodifysidとか設定すればできるみたいだね。
oinkmster.confにサンプル載ってるんだから、バックアップ取って試してみればいいのに。
何度かSnortの雑誌記事書いたことあるけど、最近は追っかけてないからちゃんと自分で確かめてね。
確かにご指摘の通りoinkmaster.confのサンプルにしっかり書かれていました。(また、oinkcodeではなくoinkmasterでした)
ありがとうございました。
modifysidでsidの書き換え、enablesid, disablesidでsidを丸ごと有効、無効にできるんですね。
アーカイブを落としてきて展開するだけで出てくるoinkmaster.confのサンプルも読まず質問してしまい申し訳ございませんでした。
最近どうもwebで調べて見つけられないとあきらめてしまうクセがついていて、よくない傾向だと反省しています。
以前はダンプされるファイル名が昔はIPアドレスごとだったのに、
すべてひとつのファイルに保存されてしまって少し不便に感じています。
設定で以前のようにアドレスごとに保存するようにはできないんでしょうか?
話題のない日本Snortユーザ会のMLに投げろ。
WAN側からくるパケットはかなり厳しくPFでフィルタリングしていて、LAN側からのは
あまりフィルタリングしていません。
先ほど、LANからnmapでゲートウェイにポートスキャンしたらちゃんと検知したのですが、
WANから、セキュリティサイト(Shields upなど)からスキャンしても全く検知してくれません。
(iplogは検知してます)
これは、SnortはPFがフィルタリングしたあとのパケットを見ているということでしょうか?
もしそうならどうすればiplogのような挙動にできるでしょうか?
よろしくお願いします。
話題のない日本Snortユーザ会のMLに投げろ。
以前、検証したら pf や ipfw などの処理をした後で
libpcap が動いているみたいだから無理だと思います。
投げるのであれば Snort ユーザ会よりも FreeBSD Users の方が適切かも。
どうやって検知してる?
たとえばLIMEWIRE使ったユーザが居たら、即管理者にメールを投げる、という運用を
とるときはどうやっているか、という話。
夜中にLIMEWIRE使ったユーザが3時間も4時間も居た場合、その時間同じ報告メールが大量に来るわな。
それを避けたい場合どうするかなんだが。
syslog-ngを使ってsnortのログを常に監視するのは可能だけど、ああいうツールって
「指定した文字列を受信したらこうする」という設定をしていた場合、
その通信が続く限り同じ処理を繰り返すでしょ?
少しはマニュアル読め
ヒントだけ書いておいてやる
threshold
snortのマニュアルってことかね?
>>64
すまんかった。解決しそう。ありがとうございます。
|
|
+-----IDS(Snort)
|
|
FW
|
|
内部
WAN側をIDSで監視していると、P2Pアラートが出た。
IDSのログから、その通信のDestinationのIPは66.36.241.XXXだった。
しかし、どういうわけかFWのログを66.36.241.XXXで引っ掛けても何も出てこなかった。
内部からの通信は例外なくFWを通過する。
二重化したFWログサーバ両方を調べたが、無かった。
こうしたことがちょくちょくある。
考えられる要因は何だろう。
ありえんだろそれ
CPU処理的にはMAX70%ほどで、平均で40%ほど。
BLEEDING-EDGE WEB Google Desktop User-Agent Detected
BLEEDING-EDGE POLICY ICQ Message
BLEEDING-EDGE POLICY MSN status change
BLEEDING-EDGE POLICY ICQ Status Change (1)
BLEEDING-EDGE POLICY Gmail Message Send
BLEEDING-EDGE POLICY Google IM traffic Jabber client sign-on
BLEEDING-EDGE POLICY Skype User-Agent detected
【これは?】
spp_rpc_decode: Incomplete RPC segment
BLEEDING-EDGE POLICY iTunes User Agent
BLEEDING-EDGE MALWARE Weatherbug Wxbug Capture
BLEEDING-EDGE MALWARE DelFin Project User Agent
BLEEDING-EDGE Potential MySQL bot scanning for SQL server
BLEEDING-EDGE Malware MyWebSearch Toolbar Traffic (host)
BLEEDING-EDGE MALWARE MyWebSearch Spyware User Agent
BLEEDING-EDGE MALWARE Target Saver Spyware User Agent
M
物理メモリは2GBでこれって普通?
パッケージからDLしてもいいけど、2.3系の所が多いし
ソースからインスコしても、makeすると「ALLに対して行うべきでありません」とか
エラー吐くし・・・。2.3系で使ってても問題ないのかな?
ちなみに、鳥はdebian-sargeでつ。
教えて、すげー人
どこからつっこんでほしい?
\ U /
/ ̄ ̄ ヽ,
/ ', / _/\/\/\/|_
\ ノ//, {0} /¨`ヽ {0} ,ミヽ / \ /
\ / く l ヽ._.ノ ', ゝ \ < バーーカ! >
/ /⌒ リ `ー'′ ' ⌒\ \ / \
(  ̄ ̄⌒ ⌒ ̄ _)  ̄|/\/\/\/ ̄
` ̄ ̄`ヽ /´ ̄
| |
−−− ‐ ノ |
/ ノ −−−−
/ ∠_
−− | f\ ノ  ̄`丶.
| | ヽ__ノー─-- 、_ ) − _
. | | / /
| | ,' /
/ / ノ | ,' \
/ / | / \
/_ノ / ,ノ 〈 \
( 〈 ヽ.__ \ \
ヽ._> \__)
システムを構築した。
オープンシステムの時代だよ・・・なんていう客のニーズに応えたつもり。
priority1の警報は、管理者にメールするように設定した。
ところが保守運用のフェーズになった今、ルールファイルの更新をどうするやら、
アラート発生時の対処法をマニュアル化しろとか・・・もう参りました。
オープンシステムを選択したのはユーザの責任、システムを構築した俺たちがそこまで
面倒を見る必要があるのか?
HSCなんてバグだらけの糞だよ! 俺たちには責任はない。でも俺たちに明日はない。
>もう参りました。
契約範囲を明確にしてないお前が悪い。
>俺たちには責任はない。
自分のスキルの低さを棚に上げて、オープンソースの製品を使うお前が悪い。
本家のMLは活発なのになぁ。どうでもいい内容も多いけど。
罵倒は簡単にできるけど的確なアドヴァイスは難しいですね
やっぱSnortの最新の情報とかを知るには
本家のML等を利用するしかないのですね。
英語読むの頑張ってみます。。。
なんか、ルールダウンロードしようとしたら料金表が出てきたんだが。。。
英語読めない奴は使わなくていいってことだよ。
snort使うべきでしょか
検知はともかくフィルタするのは面倒くさいとおもう。
あとHTTPの通信に限るのであれば、IDS使うよりも、
WAFを使ったほうが細かい事ができる。
フィルタするなら、サーバ側にインストールする必要があるけど
Apacheのmod_securityとか。
展開しようとするとエラーになる。
...
so_rules/precompiled/Ubuntu-8.04/x86-64/2.8.2.2/smtp.so
so_rules/precompiled/Ubuntu-8.04/x86-64/2.8.2.2/netbios.so
gzip: stdin: unexpected end of file
tar: アーカイブ中に予期せぬ EOF があります
tar: アーカイブ中に予期せぬ EOF があります
tar: エラーを回復できません: 直ちに終了します
家のPCから借りてるCentOSサーバにアップロードしたんだが、
これで終了してしまう。何がいけないんだろ。
https://redmine.openinfosecfoundation.org/
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
個人情報保護士 試験受けた人の集まるスレ (172)
@お気に入り登録して発生しうる問題!! (109)
【Gumblar/GENO】Web改竄ウイルス総合11【8080】 (179)
Spysheriff スパイシェリフ被害者の会 (149)
KNOPPIXとセキュリティー (330)
MVPってMYAAが決めてるのか? (103)
--log9.info------------------
こういうマテリアル、ツールをだせスレ (858)
本音はメール欄に書き込むスレin模型板 2 (213)
【タミヤ】ウォーバードコレクション7【イタレリ】 (334)
MGターンXまだかよ (180)
溶きパテ広めた奴誰だよ・・・ (147)
タミヤの筆はシンナーで軸が溶ける問題 (164)
九州 局地戦闘機 J7W1震電スレッド 試作二号機 (108)
おっさんが昔を懐かしむスレ10 (959)
旦那のガンプラ捨てたwロボットは気持ち悪い趣味! (104)
あごしゃくれ女・前田あっちゃん (107)
F/A-18ホーネット VMFA-3 (120)
【究極】ホビージャパンvs電撃ホビーマガジン【至高】 4 (901)
【興】アーマード・コア142【ISTD】 (185)
スターダストメモリー【0083】 (133)
製作代行スレッド 9工程目 (167)
当日版権について(ヌルくなく)語ろう その3 (163)
--log55.com------------------
自慢したい人がいます〜拝啓 ひねくれ3様〜山里&岩井&小宮と乃木坂秋元 #15
そろそろにちようチャップリン【2020年笑いはじめ!ファミリーネタ祭り 後半戦】
FOOT×BRAIN【天皇杯優勝!ヴィッセル神戸を変えたチーム作り】
二軒目どうする?〜ツマミのハナシ〜滝沢カレンと青物横丁で飲み歩く
ゴッドタン【第6回腐り芸人セラピー】
サタ☆シネ「ラストサマー」 5
ポケモンの家あつまる? 第220回
デュエル・マスターズ!! 第41話「無重力ジョー態! 宇宙で遭遇! 闇のヤバい襲撃者!」
