Snortを使ってみる

Transcript

1. Snort を使ってみる kuzushiki 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki

2. 発表内容 発表のネタにしようと思っていた UDM の IDS / IPS 機能 がイマイチ、、、 ↓

   急遽 Snort というオープンソースでフリーの IDS / IPS を使ってみることにした。 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki 2 / 16

3. IDS ってなに？ IDS（Intrusion Detection System, 侵入検知システム） ネットワーク上のトラフィックを監視し、不審なイベントが起きた場合には管理者に警告するシステム。 サーバー上の資産を保護したい一方で、問題が発生したとしてもトラフィックの速度を低下させたくないと考える場合には、侵 入検知システム（IDS）が問題解決に役立つ。 第１７回

   初心者のためのセキュリティ勉強会 kuzu7shiki 3 / 16

4. IDS の種類 ネットワーク：ネットワーク上の任意のポイントを選択し、そこからすべてのデバイス上のすべてのトラフィックを調べる ネットワークを見張るのが仕事のIDS 今回取り上げる Snort はこのタイプ ホスト：ネットワーク内の独立したデバイスとの間で送受信されるトラフィックを調べ、その他すべてのデバイスは対象から外す コンピュータを見張るのが仕事のIDS Tripwire

   とか IPS も同じような分類が可能 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki 4 / 16

5. IPS ってなに？ IPS (Intrusion Prevention System, 侵入防御システム) ファイアウォールで防げない脅威に対して対処するシステム。 セキュリティ上の懸念のために正当なトラフィックを遮断することになったとしても、攻撃が発覚し次第、阻止したいと思う場合 には、侵入防御システム（IPS）が役立つ。

   第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki 5 / 16

6. 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki IDSとIPS：定義と比較、そして両方が必要な理由 | OKTA より引用 6 / 16

7. Snort ってなに？ 概要 Snort (スノート)とは、ネットワーク型 IDS です。 基本説明 「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、さまざまな攻撃検出に使用できます。 世界で500万以上ダウンロードされ、60万以上の登録ユーザーに利用されています。

   主要開発元 Snort の最初の作者である Martin Roesch 氏によって、2001年に設立された「Sourcefire」は、 2013年10月7日にシスコシステムズに買収されました。 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki オープンソースのセキュリティソフト / SNORTとはから抜粋 7 / 16

8. Snort3 について 2021/1/19 に機能が大幅に改善された Snort3 が正式リリースされた 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki 8

   / 16

9. 使ってみよう Cisco Talos というセキュリティチームが Snort の 教育コンテンツを用意 Docker コンテナ https://hub.docker.com/r/ciscotalos/snort3

   チュートリアル https://www.youtube.com/playlist?list=PLpPXZRVU-dX33VNUeqWrMmBNf5FeKVmi- 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki 9 / 16

10. デモ 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki 10 / 16

11. デモ１ 動作確認をしてみよう まずは Docker コンテナの準備 コンテナに入れたら下記のコマンドを実行 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki 1

    docker pull ciscotalos/snort3 2 docker run --name snort3 -h snort3 -u snorty -w /home/snorty -d -it ciscotalos/snort3 bash 1 cd ~/examples/intro/lab1 2 snort -q --talos -r get.pcap 3 cat local.rules 11 / 16

12. デモ２ 不正な通信を検知してみよう 今回取り上げる脆弱性: MS17-010 EternalBlue 「Windows SMB1.0（SMBv1）」サーバが特定のリクエストを処理する際のバッファオーバーフローの脆弱性 参考：「WannaCry」を拡散させた脆弱性攻撃「EternalBlue」の仕組みを解説 | トレンドマイクロ

    セキュリティブログ 下記のコマンドを実行 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki 1 cd ~/examples/intro/lab2 2 snort -q --talos --rule-path ~/snort3/etc/rules/ -r eternalblue.pcap 12 / 16

13. デモ３ ルールを自作してみよう (1/3) 今回取り上げる脆弱性: CVE-2016-6267 Trend Micro Smart Protection Server

    2.5 という製品に存在したリモートコード実行の脆弱性 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki 13 / 16

14. デモ３ ルールを自作してみよう (2/3) 脆弱性の発生原理 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki 14 / 16

15. デモ３ ルールを自作してみよう (3/3) 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki 15 / 16

16. 終わりに Snort という IDS / IPS を使ってみた。 普通にインストールしようとするとそこそこ面倒なので、 公式が用意している Docker

    コンテナやチュートリアルの動画からチェックするのがおすすめ。 第１７回 初心者のためのセキュリティ勉強会 kuzu7shiki 16 / 16