不正侵入検知システムの導入
不正侵入検知システム(IDS)の「Snort」をLinux機に入れて使ってみたので、簡単にメモを。IDSとは、ネットワークやホストに流れてくるパケットを調べて、不正を検知したら警告を出してくれるものです。
まずは、Snortのインストールに必要なlibpcapがインストールされているか確認します。私の環境の場合はrpmコマンドで調べたら、すでに入っていたので、そのままSnortのインストールへ。今回は本家サイトにあった本体用RPMとMySQL接続用RPMをダウンロードして、そのままインストール。これでSnortが動作できるできる環境は整いましたが、ログを解析しやすくするためにフロントエンドの「ACID」もインストール。
ACIDを動かすのに必須なのはPHPですが、私の環境の場合はすでに入っているので、次に必要なライブラリのインストールへ。ACIDに必要なライブラリはJpGraphとADOdbなので、両方ダウンロードして、PHPが動作する場所に設置してやります。この2つはApacheからは見えないようにしておいたほうがいいようです。続いて、ACID本体をダウンロードして、同じようにPHPが動作する場所に設置してやりましょう。こちらはApacheから見えるようにしておきます。
SnortとACIDのインストールが完了したら、それぞれの設定ファイルを環境に合わせて設定した後、MySQLでSnort用のユーザーとDBを作り、Snortを起動します。エラーもなく起動できたら、ブラウザからACIDを見てみます。MySQLとSnortがうまく動いていれば、DBの初期化画面が出た後に、ログ解析画面が表示されるはずです。
Snortをうまく使いこなすには、環境に合わせて検知するようにしなければならないようなので、まだまだ設定する部分は多いです。長くなったので、とりあえず今日はここまで。今回は@ITの記事を参考にしました。