連載
» 2004年09月11日 10時00分 公開

Snortでつくる不正侵入検知システム(2):Snortのインストールと初期設定 (3/3)

[早川勇太,@IT]
前のページへ 1|2|3       

Windowsでの導入方法

●WinPcapのインストール

 Windows環境で使用する場合は、まずWinPcapをインストールする必要がある。WinPcapはhttp://winpcap.polito.it/から入手できる。本稿執筆時点での最新版は3.1 beta 3であるが、安定性を考慮し3.0をインストールすることとする。

 ダウンロードした「WinPcap_3_0.exe」をダブルクリックすると、下記のような画面が表示されるので、「Next」ボタンをクリックする。

インストール画面1

 続いて、ライセンス許諾の画面が表示される。ライセンスの内容を確認した後、「Yes,I agree with all the terms of this license agreement」という一文の左側にあるチェックボックスにチェックを入れ、「Next」ボタンをクリックする。

インストール画面2

 その後ファイルのコピーが行われる。ファイルコピー終了後、下記の画面が表示される。「もし古いバージョンのWinPcapがインストールされている場合、システムを再起動することを強く推奨する」といった内容である。もし、すでに古いバージョンをインストールしているなら、メッセージに従い再起動する。

インストール画面3

 下記の画面が表示されればWinPcapのインストールは無事終了となる。「OK」ボタンをクリックし、インストールは終了となる。

インストール画面4

●Snortのインストール

 Windows版のSnortもSnortの公式サイトから入手できる。http://www.snort.org/dl/binaries/win32/から最新版のインストーラを入手すればよい。本稿執筆時点での最新版であるsnort-2_1_3.exeをダウンロードする。なお、インストール時にはAdministrator権限が必要となるので注意してほしい(Windows XP Professional Edition SP1にて動作確認を行った)。

 インストーラを入手したら、アイコンをダブルクリックし、インストーラを起動する。起動するとライセンス許諾の画面が表示される(GNU Public Licence Version 2が適用される。日本語訳はhttp://www.opensource.jp/gpl/gpl.ja.htmlから参照できる)。ライセンスに同意するなら、「I Agree」ボタンをクリックする。

インストール画面5

 下記のような画面が表示されるので、運用方法に合った項目を選択し、「Next」ボタンをクリックする。なお、Windows版のSnortにはすでにMySQLおよびODBCのサポートが含まれている。

インストール画面6

 各選択肢の簡単な訳を下記に記載しておく。

*私はデータベースへのログ出力を計画していないか、上記にリストされたいずれかのデータベース(MySQLまたはODBC)へのログ出力を計画しています。


*私はMicrosoft SQL Serverへのログ出力サポートを必要としています。SQL Serverのクライアントソフトがすでにこのコンピュータへインストールされている必要があります。


*私はOracleへのログ出力サポートを必要としています。Oracleのクライアントソフトがすでにこのコンピュータへインストールされている必要があります。


 今回はMySQLを使用するので、一番上の選択肢を選択し、「Next」ボタンをクリックする。

 続いてインストールするコンポーネントの選択画面となる。特別な理由がなければ、すべてにチェックを付けておけばよい(すべてインストールすると約8.7Mbytesが必要となる)。

インストール画面7

 次にインストール先フォルダの選択画面となる。デフォルトでは「c:\snort」となっているので、変更する必要がある場合は、そのディレクトリをフルパスで指定する。なお、空白や日本語が含まれるフォルダは極力避けた方がよい。

 インストール先フォルダを指定したら、「Install」ボタンをクリックする。するとインストールが始まるので、しばらく待つ。

インストール画面8

 インストールが終了すると、下記のような画面となる(下記は「Show Details」ボタンを押下した場合)。「Close」ボタンをクリックする。

インストール画面9

 すると下記のようなダイアログが表示される。このダイアログ中でWinPcapのインストールを行うようにと書かれているが、すでにインストールしているため無視してよい。

インストール画面10

これでSnortのインストールは終了となる。

●Snortの設定

 設定方法はGNU/Linuxの場合と同様であるため、詳細はそちらを確認してほしい。1つ注意が必要なことがある。snort.conf中のRULE_PATH変数および*.confファイルの指定部分は、フォルダ名を指定しない場合、Snortを実行しているフォルダ内に各ファイルが存在している必要がある。よって、これらを指定する場合は絶対パスで指定するとよい。

●Snortの実行

 実行方法についても、ほとんどGNU/Linuxの場合と同様である。しかしながら、ほかのWindowsアプリケーションと異なり、コマンドプロンプトから起動する必要がある。Windows版で使用できるオプションについては、インストールされたマニュアルを参照するか、コマンドラインから「snort -h」を実行することによって確認できる。なお、正常にインストールできたかどうかを判定するには、下記のようにコマンドを入力し、出力を確認すればよい。

C:\Snort\bin>snort -V
 
-*> Snort! <*-
Version 2.1.3-ODBC-MySQL=FlexRESP-WIN32 (Build 27)
By Martin Roesch (roesch@soucefire.com, www.snort.org)
1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike)
1.8 - 2.1 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)
 
C:\Snort\bin>

 これでシステムにSnortが正常にインストールされた。これでIDSとしてSnortを運用することができるようになったが、この状態で運用すると数多くの誤検知が発生すると思う。これを避ける方法については、後々説明していきたいと思う。

 次回はACIDのインストールと設定を行い、実際に出力されたアラートを参照しながら解説していこうと思う。

Index

Snortのインストールと初期設定

Page1

GNU/Linuxシステムでの導入方法

libpcapの入手とインストール

libpcreの入手とインストール


Page2

Snortのインストールと設定


Page3

Windowsでの導入方法


Profile

早川勇太

日本Snortユーザ会


[an error occurred while processing this directive]
前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。