Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Snortを使ってみる

Avatar for kuzushiki kuzushiki
March 28, 2022
Technology
0
5

 Snortを使ってみる

第17回 初心者のためのセキュリティ勉強会(オンライン開催)の発表資料です。
https://sfb.connpass.com/event/241531/

Avatar for kuzushiki

kuzushiki

March 28, 2022
Tweet

More Decks by kuzushiki

See All by kuzushiki
ECS-cape – Hijacking IAM Privileges in Amazon ECSを解説する
Avatar for kuzushiki kuzushiki
0
220
Next.jsの脆弱性(CVE-2025-29927)の話
Avatar for kuzushiki kuzushiki
0
17
CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた
Avatar for kuzushiki kuzushiki
0
98
攻撃者の視点から見たGraphQLのセキュリティ
Avatar for kuzushiki kuzushiki
0
16
PythonのURLパーサで見つかった脆弱性について解説する
Avatar for kuzushiki kuzushiki
0
29
Pythonのtarfileによる展開処理がセキュアになりそう
Avatar for kuzushiki kuzushiki
0
9
Web Cache Deception Attackについて解説する
Avatar for kuzushiki kuzushiki
0
23
PHP8.2の新機能✞SensitiveParameter✞につい て
Avatar for kuzushiki kuzushiki
0
12
Apple M1 CPUの脆弱性「PACMAN」について解説する
Avatar for kuzushiki kuzushiki
0
730

Other Decks in Technology

See All in Technology
What's new in OpenShift 4.20
Avatar for Red Hat Livestreaming redhatlivestreaming
0
290
AI機能プロジェクト炎上の 3つのしくじりと学び
Avatar for nakawai nakawai
0
120
MCP ✖️ Apps SDKを触ってみた
Avatar for hisuzuya hisuzuya
0
390
[読書]AWSゲームブック〜GuardDuty魔神とインシデント対応の旅〜DevIO2025
Avatar for cm-usuda-keisuke cmusudakeisuke
0
180
20251029_Cursor Meetup Tokyo #02_MK_「あなたのAI、私のシェル」 - プロンプトインジェクションによるエージェントのハイジャック
Avatar for Masayuki Kawakita mk0721
PRO
0
350
【SORACOM UG Explorer 2025】さらなる10年へ ~ SORACOM MVC 発表
Avatar for SORACOM soracom
PRO
0
150
オブザーバビリティが育むシステム理解と好奇心
Avatar for maru maruloop
2
1.3k
AI-Readyを目指した非構造化データのメダリオンアーキテクチャ
Avatar for R-Miura r_miura
1
330
現場の壁を乗り越えて、 「計装注入」が拓く オブザーバビリティ / Beyond the Field Barriers: Instrumentation Injection and the Future of Observability
Avatar for Kento Kimura aoto
PRO
1
620
AIプロダクトのプロンプト実践テクニック / Practical Techniques for AI Product Prompts
Avatar for Jumpei Sakatsu saka2jp
0
110
SQLAlchemy の select(User).where(User.id =="123") を理解してみる/sqlalchemy deep dive
Avatar for Ryusei Ohkura 3l4l5
3
520
会社を支える Pythonという言語戦略 ~なぜPythonを主要言語にしているのか?~
Avatar for curekoshimizu curekoshimizu
3
840

Featured

See All Featured
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
508
140k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.7k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
230
22k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
73
11k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.1k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
2.8k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
340
57k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.7k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.2k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.1k

Transcript

  1. Snort を使ってみる kuzushiki 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki

  2. 発表内容 発表のネタにしようと思っていた UDM の IDS / IPS 機能 がイマイチ、、、 ↓

    急遽 Snort というオープンソースでフリーの IDS / IPS を使ってみることにした。 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 2 / 16

  3. IDS ってなに? IDS(Intrusion Detection System, 侵入検知システム) ネットワーク上のトラフィックを監視し、不審なイベントが起きた場合には管理者に警告するシステム。 サーバー上の資産を保護したい一方で、問題が発生したとしてもトラフィックの速度を低下させたくないと考える場合には、侵 入検知システム(IDS)が問題解決に役立つ。 第17回

    初心者のためのセキュリティ勉強会 kuzu7shiki 3 / 16

  4. IDS の種類 ネットワーク:ネットワーク上の任意のポイントを選択し、そこからすべてのデバイス上のすべてのトラフィックを調べる ネットワークを見張るのが仕事のIDS 今回取り上げる Snort はこのタイプ ホスト:ネットワーク内の独立したデバイスとの間で送受信されるトラフィックを調べ、その他すべてのデバイスは対象から外す コンピュータを見張るのが仕事のIDS Tripwire

    とか IPS も同じような分類が可能 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 4 / 16

  5. IPS ってなに? IPS (Intrusion Prevention System, 侵入防御システム) ファイアウォールで防げない脅威に対して対処するシステム。 セキュリティ上の懸念のために正当なトラフィックを遮断することになったとしても、攻撃が発覚し次第、阻止したいと思う場合 には、侵入防御システム(IPS)が役立つ。

    第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 5 / 16

  6. 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki IDSとIPS:定義と比較、そして両方が必要な理由 | OKTA より引用 6 / 16

  7. Snort ってなに? 概要 Snort (スノート)とは、ネットワーク型 IDS です。 基本説明 「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、さまざまな攻撃検出に使用できます。 世界で500万以上ダウンロードされ、60万以上の登録ユーザーに利用されています。

    主要開発元 Snort の最初の作者である Martin Roesch 氏によって、2001年に設立された「Sourcefire」は、 2013年10月7日にシスコシステムズに買収されました。 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki オープンソースのセキュリティソフト / SNORTとはから抜粋 7 / 16

  8. Snort3 について 2021/1/19 に機能が大幅に改善された Snort3 が正式リリースされた 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 8

    / 16

  9. 使ってみよう Cisco Talos というセキュリティチームが Snort の 教育コンテンツを用意 Docker コンテナ https://hub.docker.com/r/ciscotalos/snort3

    チュートリアル https://www.youtube.com/playlist?list=PLpPXZRVU-dX33VNUeqWrMmBNf5FeKVmi- 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 9 / 16

  10. デモ 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 10 / 16

  11. デモ1 動作確認をしてみよう まずは Docker コンテナの準備 コンテナに入れたら下記のコマンドを実行 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 1

    docker pull ciscotalos/snort3 2 docker run --name snort3 -h snort3 -u snorty -w /home/snorty -d -it ciscotalos/snort3 bash 1 cd ~/examples/intro/lab1 2 snort -q --talos -r get.pcap 3 cat local.rules 11 / 16

  12. デモ2 不正な通信を検知してみよう 今回取り上げる脆弱性: MS17-010 EternalBlue 「Windows SMB1.0(SMBv1)」サーバが特定のリクエストを処理する際のバッファオーバーフローの脆弱性 参考:「WannaCry」を拡散させた脆弱性攻撃「EternalBlue」の仕組みを解説 | トレンドマイクロ

    セキュリティブログ 下記のコマンドを実行 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 1 cd ~/examples/intro/lab2 2 snort -q --talos --rule-path ~/snort3/etc/rules/ -r eternalblue.pcap 12 / 16

  13. デモ3 ルールを自作してみよう (1/3) 今回取り上げる脆弱性: CVE-2016-6267 Trend Micro Smart Protection Server

    2.5 という製品に存在したリモートコード実行の脆弱性 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 13 / 16

  14. デモ3 ルールを自作してみよう (2/3) 脆弱性の発生原理 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 14 / 16

  15. デモ3 ルールを自作してみよう (3/3) 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 15 / 16

  16. 終わりに Snort という IDS / IPS を使ってみた。 普通にインストールしようとするとそこそこ面倒なので、 公式が用意している Docker

    コンテナやチュートリアルの動画からチェックするのがおすすめ。 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 16 / 16