第2回 Snortのインストールと初期設定

早川勇太
日本Snortユーザ会
2004/9/11

※ご注意 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。

---

　前回「不正侵入検知システムを知る」では、IDS（Intrusion Detection System：侵入検知システム）全般について、および代表的なNIDS（ネットワーク型IDS）であるSnortについて簡単に説明した。今回はSnortをGNU/LinuxシステムとWindowsで構築する方法について解説していく。

GNU/Linuxシステムでの導入方法

　まずはGNU/Linuxシステムでの導入方法について解説していく。基本的には下記の手順で行えばよい。

1. libpcapとlibpcreのインストール
2. Snortのインストールと設定

それでは具体的な手順について見ていこう。

【注】 本記事ではVine Linux 2.6r4で動作確認を行っているが、それ以外のディストリビューションまたはバージョンを用いている場合、出力メッセージなどが異なる可能性がある

libpcapの入手とインストール

　Snortはlibpcapというライブラリを必要としている。そのため、libpcapがシステムにインストールされていない場合、Snortより先にインストールする必要がある。libpcapはパケットキャプチャに必要となるさまざまな機能を提供するライブラリであり、公式サイトから入手できる。本稿執筆時点では0.8.3が最新版である。

【libpcap】 http://www.tcpdump.org/

　早速インストール……といきたいところであるが、その前にすでにインストールされていないか確認した方がよい。そしてそれが古い場合には、できるだけ新しい安定版に差し替えた方がよい。

　確認方法は、各ディストリビューションが採用しているパッケージ方式によって異なる。rpmの場合は下記の手順で確認することができる。なお、$で始まる行は一般ユーザーにて行う作業を示し、#で始まる行はroot権限にて行う作業であることを示す。それ以外はコマンドが出力するメッセージなどであることを示している。

$ rpm -q libpcap libpcap-0.6.2-13vl4

　上記の結果から、すでにlibpcapの0.6.2がインストールされていることが分かる。これをアンインストールする場合は下記のようにすればよい。

# rpm -e libpcap

これでシステムからlibpcapがアンインストールされる。

　続いて最新版のlibpcapを取得する。どのような方法でもよいが、今回はwgetを用いた方法を紹介しよう。下記のように入力すれば最新版のlibpcapを入手できる（URIは2004年8月1日現在のもの）。

$ wget -q http://www.tcpdump.org/release/libpcap-0.8.3.tar.gz

　これにより、最新版のlibpcapがカレントディレクトリにダウンロードされる。ダウンロードが正常に終了したら、アーカイブの展開、configureスクリプトの実行、コンパイル、インストールの順に作業を行えばよい。

$ tar xvzf libpcap-0.8.3.tar.gz $ cd libpcap-0.8.3 $ ./configure （configureスクリプトによる出力が続く） $ make （makeによるコンパイル関連の出力が続く） $ /bin/su Password:（ここでrootのパスワードを入力） # make install （makeによるインストール関連の出力が続く）

　この手順により、/usr/local配下にインストールされる。もし、ほかの場所にインストールしたいのであれば、configureスクリプトのオプションに指定すればよい。

libpcreの入手とインストール

　SnortはlibpcreというPerl互換の正規表現ライブラリも必要としている。もしインストールされていないのであれば、Snortより先にインストールしておく必要がある。

　最新版のlibpcreは公式サイトからリンクをたどることにより入手することができる。本稿執筆時点での最新版は4.3である（URIは2004年8月1日現在のもの）。

【libpcre】 http://www.pcre.org/

$ rpm -q pcre package pcre is not installed $ wget -q ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-4.3.tar.gz $ tar xvzf pcre-4.3.tar.gz $ cd pcre-4.3 $ ./configure （configureスクリプトによる出力が続く） $ make （makeによるコンパイル関連の出力が続く） $ /bin/su Password:（ここでrootのパスワードを入力） # make install （makeによるインストール関連の出力が続く）

　ここまででSnortをインストールする準備は整った。ちなみに今回はtarballによるインストール方法を紹介したが、rpmなどのパッケージを使用してもよい。

1/3

Index
Snortのインストールと初期設定
	Page1 GNU/Linuxシステムでの導入方法 libpcapの入手とインストール libpcreの入手とインストール
	Page2 Snortのインストールと設定
	Page3 Windowsでの導入方法

関連記事

Snort

5分で絶対に分かる侵入検知システム（IDS）

特集：不正侵入対策最前線

特集：続 不正侵入対策最前線

ネットワーク型IDS「Snort」の導入 （Linux Square）

ネットワーク型IDS「Snort」のシグネチャ作成法 （Linux Square）

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）