Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Snortを使ってみる
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
kuzushiki
March 28, 2022
Technology
10
0
Share
Snortを使ってみる
第17回 初心者のためのセキュリティ勉強会(オンライン開催)の発表資料です。
https://sfb.connpass.com/event/241531/
kuzushiki
March 28, 2022
More Decks by kuzushiki
See All by kuzushiki
ECS-cape – Hijacking IAM Privileges in Amazon ECSを解説する
kuzushiki
0
270
Next.jsの脆弱性(CVE-2025-29927)の話
kuzushiki
0
29
CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた
kuzushiki
0
350
攻撃者の視点から見たGraphQLのセキュリティ
kuzushiki
0
30
PythonのURLパーサで見つかった脆弱性について解説する
kuzushiki
0
50
Pythonのtarfileによる展開処理がセキュアになりそう
kuzushiki
0
16
Web Cache Deception Attackについて解説する
kuzushiki
0
38
PHP8.2の新機能✞SensitiveParameter✞につい て
kuzushiki
0
26
Apple M1 CPUの脆弱性「PACMAN」について解説する
kuzushiki
0
810
Other Decks in Technology
See All in Technology
OCI技術資料 : ロード・バランサ 概要 - FLB・NLB共通
ocise
4
27k
GitHub Actions侵害 — 相次ぐ事例を振り返り、次なる脅威に備える
flatt_security
13
7.5k
【PHPカンファレンス小田原2026】Webアプリケーションエンジニアにも知ってほしい オブザーバビリティ の本質
fendo181
0
180
Tour of Agent Protocols: MCP, A2A, AG-UI, A2UI with ADK
meteatamel
0
200
不確実性と戦いながら見積もりを作成するプロセス/mitsumori-process
hirodragon112
1
190
Oracle Cloud Infrastructure(OCI):Onboarding Session(はじめてのOCI/Oracle Supportご利⽤ガイド)
oracle4engineer
PRO
2
17k
Data Enabling Team立ち上げました
sansantech
PRO
0
270
「できない」のアウトプット 同人誌『精神を壊してからの』シリーズ出版を 通して得られたこと
comi190327
3
570
Databricks Lakebaseを用いたAIエージェント連携
daiki_akimoto_nttd
0
150
Oracle AI Databaseデータベース・サービス: BaseDB/ExaDB-Dの可用性
oracle4engineer
PRO
1
120
Claude Teamプランの選定と、できること/できないこと
rfdnxbro
1
560
機能・非機能の学びを一つに!Agent Skillsで月間レポート作成始めてみた / Unifying Bug & Infra Insights — Building Monthly Quality Reports with Agent Skills
bun913
5
2.9k
Featured
See All Featured
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
250
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
0
190
Information Architects: The Missing Link in Design Systems
soysaucechin
0
860
Amusing Abliteration
ianozsvald
1
150
Music & Morning Musume
bryan
47
7.1k
How to Think Like a Performance Engineer
csswizardry
28
2.5k
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.7k
Designing Powerful Visuals for Engaging Learning
tmiket
1
320
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
160
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
320
Optimizing for Happiness
mojombo
378
71k
Transcript
Snort を使ってみる kuzushiki 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki
発表内容 発表のネタにしようと思っていた UDM の IDS / IPS 機能 がイマイチ、、、 ↓
急遽 Snort というオープンソースでフリーの IDS / IPS を使ってみることにした。 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 2 / 16
IDS ってなに? IDS(Intrusion Detection System, 侵入検知システム) ネットワーク上のトラフィックを監視し、不審なイベントが起きた場合には管理者に警告するシステム。 サーバー上の資産を保護したい一方で、問題が発生したとしてもトラフィックの速度を低下させたくないと考える場合には、侵 入検知システム(IDS)が問題解決に役立つ。 第17回
初心者のためのセキュリティ勉強会 kuzu7shiki 3 / 16
IDS の種類 ネットワーク:ネットワーク上の任意のポイントを選択し、そこからすべてのデバイス上のすべてのトラフィックを調べる ネットワークを見張るのが仕事のIDS 今回取り上げる Snort はこのタイプ ホスト:ネットワーク内の独立したデバイスとの間で送受信されるトラフィックを調べ、その他すべてのデバイスは対象から外す コンピュータを見張るのが仕事のIDS Tripwire
とか IPS も同じような分類が可能 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 4 / 16
IPS ってなに? IPS (Intrusion Prevention System, 侵入防御システム) ファイアウォールで防げない脅威に対して対処するシステム。 セキュリティ上の懸念のために正当なトラフィックを遮断することになったとしても、攻撃が発覚し次第、阻止したいと思う場合 には、侵入防御システム(IPS)が役立つ。
第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 5 / 16
第17回 初心者のためのセキュリティ勉強会 kuzu7shiki IDSとIPS:定義と比較、そして両方が必要な理由 | OKTA より引用 6 / 16
Snort ってなに? 概要 Snort (スノート)とは、ネットワーク型 IDS です。 基本説明 「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、さまざまな攻撃検出に使用できます。 世界で500万以上ダウンロードされ、60万以上の登録ユーザーに利用されています。
主要開発元 Snort の最初の作者である Martin Roesch 氏によって、2001年に設立された「Sourcefire」は、 2013年10月7日にシスコシステムズに買収されました。 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki オープンソースのセキュリティソフト / SNORTとはから抜粋 7 / 16
Snort3 について 2021/1/19 に機能が大幅に改善された Snort3 が正式リリースされた 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 8
/ 16
使ってみよう Cisco Talos というセキュリティチームが Snort の 教育コンテンツを用意 Docker コンテナ https://hub.docker.com/r/ciscotalos/snort3
チュートリアル https://www.youtube.com/playlist?list=PLpPXZRVU-dX33VNUeqWrMmBNf5FeKVmi- 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 9 / 16
デモ 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 10 / 16
デモ1 動作確認をしてみよう まずは Docker コンテナの準備 コンテナに入れたら下記のコマンドを実行 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 1
docker pull ciscotalos/snort3 2 docker run --name snort3 -h snort3 -u snorty -w /home/snorty -d -it ciscotalos/snort3 bash 1 cd ~/examples/intro/lab1 2 snort -q --talos -r get.pcap 3 cat local.rules 11 / 16
デモ2 不正な通信を検知してみよう 今回取り上げる脆弱性: MS17-010 EternalBlue 「Windows SMB1.0(SMBv1)」サーバが特定のリクエストを処理する際のバッファオーバーフローの脆弱性 参考:「WannaCry」を拡散させた脆弱性攻撃「EternalBlue」の仕組みを解説 | トレンドマイクロ
セキュリティブログ 下記のコマンドを実行 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 1 cd ~/examples/intro/lab2 2 snort -q --talos --rule-path ~/snort3/etc/rules/ -r eternalblue.pcap 12 / 16
デモ3 ルールを自作してみよう (1/3) 今回取り上げる脆弱性: CVE-2016-6267 Trend Micro Smart Protection Server
2.5 という製品に存在したリモートコード実行の脆弱性 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 13 / 16
デモ3 ルールを自作してみよう (2/3) 脆弱性の発生原理 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 14 / 16
デモ3 ルールを自作してみよう (3/3) 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 15 / 16
終わりに Snort という IDS / IPS を使ってみた。 普通にインストールしようとするとそこそこ面倒なので、 公式が用意している Docker
コンテナやチュートリアルの動画からチェックするのがおすすめ。 第17回 初心者のためのセキュリティ勉強会 kuzu7shiki 16 / 16
kuzushiki
ocise
flatt_security
fendo181
meteatamel
hirodragon112
oracle4engineer
sansantech
comi190327
daiki_akimoto_nttd
rfdnxbro
bun913
axbom
samtorres
soysaucechin
ianozsvald
bryan
csswizardry
sonatard
bcantrill
tmiket
katarinadahlin
mojombo
