Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Snortを使ってみる

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for kuzushiki kuzushiki
March 28, 2022
Technology
0
10

 Snortを使ってみる

第17回 初心者のためのセキュリティ勉強会(オンライン開催)の発表資料です。
https://sfb.connpass.com/event/241531/

Avatar for kuzushiki

kuzushiki

March 28, 2022
Tweet

More Decks by kuzushiki

See All by kuzushiki
ECS-cape – Hijacking IAM Privileges in Amazon ECSを解説する
Avatar for kuzushiki kuzushiki
0
270
Next.jsの脆弱性(CVE-2025-29927)の話
Avatar for kuzushiki kuzushiki
0
27
CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた
Avatar for kuzushiki kuzushiki
0
310
攻撃者の視点から見たGraphQLのセキュリティ
Avatar for kuzushiki kuzushiki
0
28
PythonのURLパーサで見つかった脆弱性について解説する
Avatar for kuzushiki kuzushiki
0
48
Pythonのtarfileによる展開処理がセキュアになりそう
Avatar for kuzushiki kuzushiki
0
16
Web Cache Deception Attackについて解説する
Avatar for kuzushiki kuzushiki
0
37
PHP8.2の新機能✞SensitiveParameter✞につい て
Avatar for kuzushiki kuzushiki
0
26
Apple M1 CPUの脆弱性「PACMAN」について解説する
Avatar for kuzushiki kuzushiki
0
800

Other Decks in Technology

See All in Technology
システム標準化PMOから ガバメントクラウドCoEへ
Avatar for 高橋広和 techniczna
1
140
内製AIチャットボットで学んだDatadog LLM Observability活用術
Avatar for k.masachika mkdev10
0
130
ガバメントクラウドにおけるAWSの長期継続割引について
Avatar for takeda_h takeda_h
2
5.3k
プラットフォームエンジニアリングはAI時代の開発者をどう救うのか
Avatar for Kazuto Kusama jacopen
7
3.9k
詳解 強化学習 / In-depth Guide to Reinforcement Learning
Avatar for PRIN Lab prinlab
0
300
銀行の​内製開発にて​2つの​プロダクトを​1つのチームで​スクラムしてみてる​話
Avatar for koba1210 koba1210
1
150
JAWS DAYS 2026 AWS知識・技術力を使って隠された旗をゲットせよ!〜出張版「ごーとんカップ」〜 解説編
Avatar for 株式会社カミナシ kaminashi
0
100
今のWordPress の制作手法ってなにがあんねん?(改) / What’s the Deal with WordPress Development These Days?
Avatar for tbshiki tbshiki
0
510
Cortex Code CLI と一緒に進めるAgentic Data Engineering
Avatar for あれ __allllllllez__
0
430
Kiro Powers 入門
Avatar for Kazuki Adachi k_adachi_01
0
120
VPCエンドポイント意外とお金かかるなぁ。せや、共有したろ!
Avatar for tommy tommy0124
1
700
Kubernetesにおける推論基盤
Avatar for ry ry
1
420

Featured

See All Featured
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
55
8k
Music & Morning Musume
Avatar for Bryan Veloso bryan
47
7.1k
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
220
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k
We Are The Robots
Avatar for Honza Javorek honzajavorek
0
200
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
150
Money Talks: Using Revenue to Get Sh*t Done
Avatar for Nikki Halliwell nikkihalliwell
0
180
Technical Leadership for Architectural Decision Making
Avatar for Kenny Baas-Schwegler baasie
3
300
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
Avatar for soudai sone soudai
PRO
64
52k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
274
21k
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
64
53k

Transcript

  1. Snort を使ってみる kuzushiki 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki

  2. 発表内容 発表のネタにしようと思っていた UDM の IDS / IPS 機能 がイマイチ、、、 ↓

    急遽 Snort というオープンソースでフリーの IDS / IPS を使ってみることにした。 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 2 / 16

  3. IDS ってなに? IDS(Intrusion Detection System, 侵入検知システム) ネットワーク上のトラフィックを監視し、不審なイベントが起きた場合には管理者に警告するシステム。 サーバー上の資産を保護したい一方で、問題が発生したとしてもトラフィックの速度を低下させたくないと考える場合には、侵 入検知システム(IDS)が問題解決に役立つ。 第17回

    初心者のためのセキュリティ勉強会 kuzu7shiki 3 / 16

  4. IDS の種類 ネットワーク:ネットワーク上の任意のポイントを選択し、そこからすべてのデバイス上のすべてのトラフィックを調べる ネットワークを見張るのが仕事のIDS 今回取り上げる Snort はこのタイプ ホスト:ネットワーク内の独立したデバイスとの間で送受信されるトラフィックを調べ、その他すべてのデバイスは対象から外す コンピュータを見張るのが仕事のIDS Tripwire

    とか IPS も同じような分類が可能 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 4 / 16

  5. IPS ってなに? IPS (Intrusion Prevention System, 侵入防御システム) ファイアウォールで防げない脅威に対して対処するシステム。 セキュリティ上の懸念のために正当なトラフィックを遮断することになったとしても、攻撃が発覚し次第、阻止したいと思う場合 には、侵入防御システム(IPS)が役立つ。

    第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 5 / 16

  6. 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki IDSとIPS:定義と比較、そして両方が必要な理由 | OKTA より引用 6 / 16

  7. Snort ってなに? 概要 Snort (スノート)とは、ネットワーク型 IDS です。 基本説明 「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、さまざまな攻撃検出に使用できます。 世界で500万以上ダウンロードされ、60万以上の登録ユーザーに利用されています。

    主要開発元 Snort の最初の作者である Martin Roesch 氏によって、2001年に設立された「Sourcefire」は、 2013年10月7日にシスコシステムズに買収されました。 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki オープンソースのセキュリティソフト / SNORTとはから抜粋 7 / 16

  8. Snort3 について 2021/1/19 に機能が大幅に改善された Snort3 が正式リリースされた 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 8

    / 16

  9. 使ってみよう Cisco Talos というセキュリティチームが Snort の 教育コンテンツを用意 Docker コンテナ https://hub.docker.com/r/ciscotalos/snort3

    チュートリアル https://www.youtube.com/playlist?list=PLpPXZRVU-dX33VNUeqWrMmBNf5FeKVmi- 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 9 / 16

  10. デモ 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 10 / 16

  11. デモ1 動作確認をしてみよう まずは Docker コンテナの準備 コンテナに入れたら下記のコマンドを実行 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 1

    docker pull ciscotalos/snort3 2 docker run --name snort3 -h snort3 -u snorty -w /home/snorty -d -it ciscotalos/snort3 bash 1 cd ~/examples/intro/lab1 2 snort -q --talos -r get.pcap 3 cat local.rules 11 / 16

  12. デモ2 不正な通信を検知してみよう 今回取り上げる脆弱性: MS17-010 EternalBlue 「Windows SMB1.0(SMBv1)」サーバが特定のリクエストを処理する際のバッファオーバーフローの脆弱性 参考:「WannaCry」を拡散させた脆弱性攻撃「EternalBlue」の仕組みを解説 | トレンドマイクロ

    セキュリティブログ 下記のコマンドを実行 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 1 cd ~/examples/intro/lab2 2 snort -q --talos --rule-path ~/snort3/etc/rules/ -r eternalblue.pcap 12 / 16

  13. デモ3 ルールを自作してみよう (1/3) 今回取り上げる脆弱性: CVE-2016-6267 Trend Micro Smart Protection Server

    2.5 という製品に存在したリモートコード実行の脆弱性 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 13 / 16

  14. デモ3 ルールを自作してみよう (2/3) 脆弱性の発生原理 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 14 / 16

  15. デモ3 ルールを自作してみよう (3/3) 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 15 / 16

  16. 終わりに Snort という IDS / IPS を使ってみた。 普通にインストールしようとするとそこそこ面倒なので、 公式が用意している Docker

    コンテナやチュートリアルの動画からチェックするのがおすすめ。 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 16 / 16