Snort IDScenter 1.1 日本語マニュアル

 

 


 

Introduction

Snort とは?

Snortは、小規模ネットワーク向けのツールです。
Snortは、商用のNIDS(Network Intrusion Detection System)を導入する費用がかけられないとき、
有力な選択肢となります。最近の商用ベースのIDSでは、最小コストが数十万、極端な場合だと
数百万円のコストがかかります。Snortは、GNUGeneral Publid Lisenceの下で利用可能です。
どのような環境で使うこともフリーです。また、Network管理などのNetworkセキュリティシステムとして
Snortを導入することは、商用のIDSを導入することによる費用対効果よりも優れています。

ライトウェイトIDSは、最小限の作業でNetwork上のどのノードにでも簡単に構築することができます。
そのようなIDSは、クロスプラットフォームで、使用するシステムメモリが少なく、短時間でセキュリティ
ソリューションを実装する必要があるシステム管理者が簡単に設定できる、といった感じでなければなりません。
IDSは、いくつかのソフトウェアの組み合わせで構成され、システムのセキュリティを維持するために
様々なアクションをとることが必要とされます。ライトウェイトIDSは、小さく、パワフルで、Network Security
インフラストラクチャの構成要素として十分に柔軟性があるものです。

IDScenter とは?

IDScenter は、Windowsプラットフォーム(WindowsNT/2000/XP推奨)におけるSnortのベーシックな管理GUIです。
Snortと一緒にIDScenterを使用する利点は、操作が簡単で使い勝手がいいからです。それでも、Snort IDSの設定や
ネットワークの基本的な知識が必要となります。、IDScenterは、次のような管理機能があります。

  • Snort 2.0, 1.9, 1.8 and 1.7 でのサポート
    o すべての設定が簡単にできます。
    o 監視用インターフェースとして、WinPCAPを指定することができます。
    o インラインコンフィグレーションをサポートします (コマンドラインパラメータの代わりに、環境設定ファイルのオプションが使用できます)
  • Snort のサービスモードでサポート
    o IDScenter でSnort serviceを制御できます。
  • Snort configuration wizard
    o 値の設定
    o Preprocessor プラグイン
    o Output プラグイン (Snort 2.x and Snort 1.9.x で、Syslogへの出力をサポート)
    o ルールセット
  • IDS ルールのオンラインアップデート: IDScenter は、HTTPクライアントとオンデマンドのアップデートスクリプトを統合しています
    o Andreas Östlings Oinkmaster 作成のperl script設定
    o アップデートチェックのインターバル設定
  • ルールセットエディタ( Snort 2.0 ルールオプションはすべてサポート)
    o ルールの変更
    o ソースIP、ポート、その他、ベースのSortルール作成
    o ファイルやWebサイトから、既存のルールセットへルールをインポート
  • HTML形式のレポート
    o IDScenterでは、HTML形式のレポートを作成できます。
    o HTMLテンプレートをカスタマイズできます
    o TCPのフラグなどのデコード、 Hex/Base 64 ペイロードのデコード、マルチスレッドのDNS名前解決(可能な場合)
  • メール、サウンド、コンソール画面での通知
    o 設定したインターバルでのメール送信
    o SQLクエリーを含むメールの送信(メール送信はOn Demand。上記参照)
    o Snort Logの最後から指定行を送信
    o MySQLへ不正アクセスイベントを記録
    o 添付ファイルの追加 (例:実行中のプロセスリスト(別プログラムで生成する必要あり))
  • AutoBlock プラグイン(プラグインはDLLとして作成して追加することが可能)
    o ISS NetworkICE BlackICE Defender plugin (IPアドレス(TCPとUDPポート番号の指定含む), ICMP パケットをブロック可能。ブロックする時間も設定できる)
    o Delphi framework(他のFirewallとの連携のためのプラグイン)
    o Configurationのテスト機能: IDS configurationのテスト(Snortルールの文法チェックなど)
  • 監視
    o ファイルアクセスのモニタリング(最大10ファイルまで)
    o MySQL alert detection: すべてのSnortログを集中管理
  •   ログローテーション(compressed archiving of log files)
    o ログの自動バックアップ、定期的なログローテーション(毎日、毎週、毎月)
  • Global event logging
    o アラートメールの送信、ログのローテーション、オンラインアップデート等の動作状況のログ記録
  • Integrated log viewer
    o ログファイルViewer
    o XML 形式ログファイル viewer
    o HTML/website viewer (ACID, SnortSnarf, IDScenterのレポートテンプレートによるHTML形式出力データ等をサポート)
    o CVE 検索、WHOIS検索
  • 攻撃検知時のプログラム実行

 

Installation

IDSを設置すべきネットワークの場所

あなたがネットワーク中にIDSを配置するべき場所はいくつかあります.WANから来るすべての攻撃に対して通知させたいのならば Firewall の外側にIDSを設置するべきです.この場合はFirewall を経由しないパケットについても記録するため,コンピュータにより多くの性能を必要とします.
推奨する他の方法は,Firewall の内側へのIDSの設置です.詳細については http://www.snort.org/documentation.html  にあります.

IDSはネットワーク内のすべてのパケットを受信することができます.(promiscious mode) これはリピータHUBがあるネットワークにおいて最適です.
もしスイッチングされたネットワークの場合には,IDS ホストをスイッチングハブの ミラーポート(diagnostic port) に接続してすべてのトラフィックを受信します.

IPを利用不能にするか,読み込み専用イーサネットケーブルを用いる場合には,2つ目のNICを準備て Firewall へアクセスします.

Snort パッケージ

動作に必要なもの:

  • WinPCAP (http://winpcap.polito.it/)
  • Snort package
    • Snort package を SiliconDefense.com, CodeCraftConsultants or Snort.org (SourceFire) からダウンロードします.
      インストーラ付きか,ZIP書庫から選択することができます.お勧めはZIP書庫です.インストーラは時々問題を起こすことがあります. 
    • MySQL データベースに ログを記録するには Snort MySQL が必要です
    • Warning: Snort-Flex response package は他のルールファイルが必要です

ここではZIP書庫のインストール方法のみ説明します.

  • WinPCAP のインストール..インストーラーが自動的に行います.
  • ZIP 書庫をフォルダに展開します (例: C:\Snort)
  • Note: IPの無効化や読み込み専用イーサネットケーブルは可能ですが必ず必要ではありません.Snort が必要なのは攻撃を検知するためにパケットを抜き取ることで,これはそのままでも可能です.

IDScenter

IDScenter を Engage Security site からダウンロードします. インストーラを起動し指示に従ってください.
セットアップが終了したら,IDScenter を起動します.

"ステルス" ホストのセットアップ(オプション)

注: これらの方法を使用したあとにネットワーク接続を確立することはできません.必要なツール類はすべて事前にダウ ンロードしておくか,もしくは外部メディア(Iomega ZIP等)や他のセキュアなネットワークにアクセスすることのできる別のNICを用います.
 


(A) Registry editor


(B) Setting IP 0.0.0.0


(C) It works! The IP is 0.0.0.0,
Subnet is 0.0.0.0 ... now you've
got a "stealth" host

 

 Windows 2000 でのIPアドレスの無効化 ( Win2K SP2 上で確認済み)

Windows2000では,レジストリのトリッキーな設定によりIPアドレスを無効にすることができます. :o) (出典: Michael Steele, SiliconDefense.com).
私はこれらをテストする間にいくつかの点を修正しました.
利点:IDSホストはどんな攻撃者によっても発見されません.
問題点:IDSホストから,もしくはIDSホストへの接続の確立ができません.

  • レジストリエディタ (Regedit.exe) (A) を起動する

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    Tcpip\Parameters\Interfaces
    へ移動する

  • サブツリーのバックアップを作成:メインメニューの"エクスポート"を選択しファイル名を入力する

  • コマンドラインからSnortの"-W"スイッチを付けて得たインターフェースIDを選択する(command.com は最初に実行する)

注意:インターフェース毎にキーがあるため,適切なレジストリにIPAutoconfigurationEnabledを入力する.そ こには実際のIPアドレスが存在する.

  • "編集"メニューから"新規"-> "DWORD値"を選ぶ

  • 名前に"IPAutoconfigurationEnabled" と入力しEnterを押す

    • もし既に存在した場合:"new value"をダブルクリックし値を0にセットしてOKをクリック

  • "EnableDHCP" をダブルクリック
    • もしなっていなければ,値を "0"  に変更してOKをクリック
  • "IPAddress" をダブルクリック (このセッティングが存在しない場合は,まずNICを有効にして再起動する)
    • 次の値を入力する. "30 00 00 00 30 00 2E 00 30 00 2E 00 30 00 00 00 00 00" (B)
      最初の値をクリックして"30"とタイプする..など.
    • 前からあった残りの値を削除する.すると(B)のようになる.
  • レジストリエディタを閉じる
  • マシンを再起動する
  • 再起動後: command.comを実行し,ipconfig とタイプするとIPアドレスが 0.0.0.0になっているはず

もし Snort -v -ix (x はプロミスキャスモードに設定するインターフェースの番号)
とすれば該当するインターフェースのすべての種類のトラフィックを観察することができます.

読み込み専用イーサネットのピン配置 (動作未確認)

Note: IPを無効にするのと同じ,ホストから,もしくはホストへの接続ができなくなるという制限事項があります.しかしIDS を"ステルス" としてすべてのトラフィックを抜き取ることができます.

 3 番,10 番ピンを切り取れば受信専用になります.

            1              8 
___________________
\ . . . . . . . . /
\ . . . . . . . /
\-------------/
9 15

Pin Signal Description
1 GND
2 CI-A Control In Circuit A
3 DO-A Data Out Circuit A
4 GND
5 DI-A Data In Circuit A
6 VC Voltage Common
7 -
8 GND
9 CI-B Control In Circuit B
10 DO-B Data Out Circuit B
11 GND
12 DI-B Data In Circuit B
13 VP +12 Volts DC
14 GND
14 GND


Configuration of IDScenter and Snort

環境設定

    Quick note:

  • IDScenterのトレイアイコンをダブルクリックしてconfigurationダイアログを表示させます.(トレイアイコ ンの上で右クリック-"Settings"を選択しても同じです.)
  • (IDScenterの動作に必要なすべてのオプションを設定した後で) Apply をクリックすると設定が生成・保存されます.
  • もしエラーが発生すると,"Overview" パネルに表示されます.
  • Start Snort ボタン: console mode または service mode でSnort を開始します.
  • View alerts ボタン: log viewer を開きます.
  • Test settings ボタン: コンフィグレーションの後にこのボタンをクリックすることで,設定をテストすることができます.
  • Reload ボタン: コンフィギュレーションを再読込します.

IDScenterをスタートした後に,システムトレイのなかに小さな黒い円形のアイコンが見えるでしょう.その円をダブルクリックす ると configuration interface (1) が開きます.


IDScenter configuration interface (Main panel)

IDScenterを用いたSnortのセットアップには2つの方法があります

- Snort console mode
- Snort service mode

Service mode の利点は,あなたがログオフしている間も継続してネットワークを監視することができる点です.

  • Snort のバージョンを選択します (Snort 2.x 推奨)
  • Snort 実行ファイルの場所をセットします
  • 必要ならservice mode をチェックします(NT/2K/XP/.NET)
    • IDScenter は最大15 秒間 Service modeの開始を待ちます
  • Select options:
    • Show Snort console :Snort の console window を表示します
    • Minimized Snort window : console windowを最小化します
    • Don't restart Snort, if it is killed: Snortがクラッシュしたときに再起動を行ないません
  • IDScenter と Snort をWindowsと共に開始したい
    • これらのチェックボックスを両方クリックしてください
      Note: Snort を Service mode で実行した時,IDScenter は Snort サービスのコントロールを行うことができます.
  • Process priority: Snort は標準以外の優先度で実行することができます.(Snort console mode)
  • Log file
    • Snortが記録するログファイルを設定します (フルパス名)
      • Snort の実行ファイルと同じフォルダを指定しないでください
        ログのローテーションを有効にすると IDScenter はこのフォルダの中のファイルをすべて別ディレクトリへ移動させます.
    • 注意 (覚えておくこと): 後でoutput plugin の為に同じログファイルを設定しなければならないでしょう!そこではフルパスではなくファイル名のみをパラメータとして与えてください.
  • データベースログに基づいたHTMLレポートの生成
    これはoutput_database Snort プラグインを用いて記録されたデータベースログを用いてレポートを生成する強力な機能です.
    • HTML report file: 出力ファイル名を設定
    • HTML report template file: レポートのテンプレートファイルを設定します.[db: your_query_here] を追加すれば簡単に作ることができます.IDScenterはデコードしたパケット情報とマルチスレッドのDNS検索エンジンを使用して得た情報をクエ リーへの入力として,出力テーブルを作成します.
    • もしSQLを知らないのであれば,IDScenterによって提供されている基本的なクエリを使ってくださ い.コンボボックスのクエリを選択して"Insert!"をクリックすれば簡単にSQL文を作成することができます.
  • Log viewer
    • 内蔵ログビュワー外部のログビュワーを選択します
  • Internal log viewer:
    • Standard log file: テキストでのログファイルです(output pluginはこのファイルを用います)
    • XML log file: Snort XML pluginからIDScenter XML Serverを用いてファイルにします.ここにはサーバによって使用されるファイル名をセットしてください.
    • Explorer: website/HTML file/XML file を内蔵ログビュワーで表示できます.これは ACID, SnortSnarf, Snort2HTML等を用いている場合にログファイルを表示させるのに便利です.


Activity log panel

  • このパネルでは IDScenter がイベントを表示します
    • モニタされたイベントを選択することができます
    • 自動的に活動ログを削除させることができます
  • Clear log: 記録された項目を削除します


Overview panel

  • このパネルでは IDScenter がエラーを表示します
    • applyをクリックしてエラーが起こった場合,ここに通知されるでしょう
    • MySQL alert detection: データベースが利用できないとき,メッセージはここに表示されます (window は自動的に表示されます)
  • 有効なアラート機能の概要はここに表示されます
  • "Copy to clipboard": Snort のコマンドラインをクリップボードにコピーします


IDS rules - Snort configuration file

Snort のconfiguration ファイルは手動もしくはウイザードを用いて作成することができます.
注意: 未知のプリプロセッサでも手動で作成すればサポートされます.
未知のoutput plugin もサポートされ,configuration の保存("Apply"のクリック)でも失われることはありません.


Snort configuration file
  • configuration ファイルの設定
    通常 Snortがインストールされた "etc" フォルダの中の "Snort.conf" を使用します. (e.x. "C:\Snort\etc\snort.conf")
  • 編集ボックスにパターンを入力して検索(虫めがね)ボタンをクリックすると検索することができます.
  • Snort configuratoin ファイルの編集のために外部エディタを設定することができます.


Variable wizard

注意: IPは サブネットマスクにCIDR(Classless Inter-Domain Routing)フォーマットを用いるようにセットします.

Varibale wizard - rule ファイルで用いられている変数の設定方法

  • ruleファイル中の変数の設定は非常に重要です.
  • IPアドレスと範囲は次のように設定します:
    • 単一のネットワークアドレス/ホスト:
      例: 192.168.1.0/255.255.255.255.0 は 192.168.1.0/24, 単一のホストではサブネットを /32 にします.
    • 複数のアドレス: 複数のネットーワーク/ホストを加えるために"Multiple hosts or networks" をクリックします.カンマを用いてIPを区切ってください.
    • Any: すべて(0.0.0.0 )をモニタします.
  • HOME_NET はあなたのネットワークアドレスもしくはanyにセットします.
    • 例: 192.168.1.0/24 (上記参照)
  • EXTERNAL_NET はWANのネットワークアドレスにセットします.
    • 例: Any .. もしくは !$HOME_NET ( "HOME_NET" 以外,の意味)
  • DNS_SERVERS あなたの DNS サーバにセットします.
    • 複数のホストを選ぶと,プライマリとセカンダリのDNSサーバのIPアドレスを入力します.
    • 例: 212.40.0.10/32, 212.40.5.50/32 (/32 は単一ホストの時)
  • RULE_PATH: ruleファイルの場所を 絶対パスで 入力します (例: C:\Snort\rules)
  • ほかの変数は HTTP サーバや SQL サーバなどのIPをセットします.
  • 自分の rule ファイル中で用いる新しい変数を追加することができます.


Preprocessors wizard (page 1)


Preprocessors wizard (page 2)


Preprocessors wizard (page 3)


Preprocessors wizard (page 4)

ここではSnort で使用されるプリプロセッサを選択して設定することができます.
詳細については,Snort のマニュアルページを参照してください. (snort\doc\SnortUsersManual.pdf).

Preprocessors wizard (page 1)

  • Stream4:Statefull inspection/stream reassembly
    TCPステートフルインスペクション(TCPセッションログを保存しておき、次に受信したパケットがセッションログと矛盾しないかチェックする機能)を使 用する場合にチェック
  • Stream4 tcp stream reassembly directive
    TCPストリームの再構築を行う場合にチェック
  • Frag2: IP defragmentation plugin.
    これは分割攻撃(例えば,fragrouter を用いた)を破るために推奨されます.フラグメントされたIPパケットを用いてIDS 攻撃検知を回避する方法がいくつか知られています!.

Preprocessors wizard (page 2)

  • "IP Conversation" plugin: portscan2 やその他のプリプロセッサで用いられます(Snort manual 参照)
  • HTTP decode: HTTP_decodeの代わりにUnidecodeを用います
  • Telnet/FTP decode: telnetとFTPのトラフィックをデコードします
  • ASN1: 詳細についてはSnort のマニュアルを参照
  • Polymorphic shellcode analyzer: shellcode を検出します
  • Back Orifice: brute-force を完全に無効化するには..supercomputer が必要です :o)
  • RPC decoder: RPC protocol をデコードして トラフィックをnormalize します(オプションについてはSnort manual 参照)

Preprocessors wizard (page 3)

  • Portscan2 preprocessor: $DNS_SERVERS をignore hostに登録すべきです.さもなくばDNSリクエストによってポートスキャンのアラートが発生するでしょう.
  • Portscan preprocessor: $DNS_SERVERS をignore hostに登録すべきです.さもなくばDNSリクエストによってポートスキャンのアラートが発生するでしょう.

Preprocessors wizard (page 4)

  • ARP spoof detection:
    • ettercap/angst/ghost portscanner 等を用いたARP spoof を検出することができます.
    • ARP spoofing を用いた攻撃を検出するには,ネットワーク内のすべてのIPアドレスとそれらのMACアドレスを登録する必要があります.
  • Unsupported preprocessors:
    • サポート外のプリプロセッサがリスト表示され,手動で設定することができます.


Output plugins configuration wizard

ここでは全ての output plugin とruletype をセットアップすることができます.

詳細については Snort のマニュアルページを参照してください!

Snort のoutput plugin の設定を助けるために小さなウイザードがこのパネルにはあります.スクリーンショットではsyslog output plugin の設定を表示しています.

output plugin の追加

  • "Add" をクリックしてポップアップメニューからoutput plugin を選択
  • Snort マニュアルからの情報を使ってプラグインをセットアップする
  • Add をクリック (小さなウイザードダイアログの方です!)
  • ruletypes を作成するために名前を入力し,モードを選択し"Create type" をクリックします.これで異なるログを生成することができますが,rule も変更する必要があります.
    • 注: 特に必要なければ,デフォルトのoutput plugin でログをとってください.もしログのタイプを作れば,IDS ruleも編集しなければいけません!
    • もしruletype (詳しくはSnort のマニュアル参照)を追加したいとき,最初にルールタイプを選んで"Add"をクリックします.

output plugins の編集

  • 編集するには項目をクリックします.編集が終われば,ダイアログ中のAddをクリックすれば変更は反映されます.

Rule configuration wizard

ruleset wizard はルールセットをメンテナンスする助けとなります.ここではSnort の設定ファイルを"include" します.

  • classification configuration file を選択します
    • defaultファイル名: "classification.config"
    • この項目を実際のパスに変更します. (例: C:\Snort\etc\classifcation.config)
  • reference configuration file を選択します
    • defaultファイル名: "reference.config"
    • この項目を実際のパスに変更します. (例: C:\Snort\etc\reference.config)
  • 使用するルールファイルの有効/無効を設定できます
  • ruleset editor を用いてルールセットを開くことができます:
    • ルールセットファイルを選択して
    • "Ruleset editor" をクリックします

注意: ルールセットのアップデートは重要です.ウィルス定義ファイルのようなものです.


Ruleset editor

ruleset editor はファイル中の利用可能なルールをリスト表示します.

  • 新しいルールの追加(および複製) / ルールの削除
  • ルールの編集
    • ルールを選択し "Add/edit rule" をクリック
  • ルールの有効化/無効化
  • ルールセットへのルールの読み込み (Snort 2.x 形式)
  • 編集後にルールセットを保存する

Ruleset editor page 1

rule editor でSnort ルールの編集をする (Snort 2.x 形式に対応).

  • ルールを編集する前に,Snort のマニュアルを読むことを強く推奨します.(もしくは,少なくともネットワークトラフィックについての知識があること.)I
  • "Add new rule" ルールセットに新しいルールを追加します
  • "Update" 編集したルールを更新します
  • "Reload" 編集したルールを元に戻します
  • "Clear" すべてのフィールドをクリアします
  • reference list のアイテム上でダブルクリックすると,ウェブで情報が開きます


Ruleset editor page 2

Ruleset editor page 3

Ruleset editor page 4

editor はSnort 2.xのすべての機能にたいしてフロントエンドを提供します

  • これ以上の情報はSnort マニュアルにあります
  • エクスプローラを用いてウェブ上の情報に直接アクセスすることができます.(Main Option Pageの"Double-Clieck on an item on browse"の項目をダブルクリックしてください)

Online update

online update wizard はOinkmaster の設定を行うためのユーザインターフェースです.(by Andreas Östling) /* XXX */

  • この機能を利用したい場合にはEagleX パッケージをダウンロードする必要があります.

 

Logging options


Packet logging and network options


Preprocessor settings


Output plugins command-line options


Rule options

Packet logging and network options

  • Snort のコマンドラインパラメータを設定します
    • 詳しくはSnort のマニュアルを参照してください
  • Network settings
    • 必要ならば,Snort でモニタするインターフェースを選択します (WinPCAP はインストールしましたか?)
    • Home network setting: このオプションは主にSnort 1.6/1.7で用いられていましたが,まだ利用することができます
      注意:
      変数 HOME_NET を variables wizard で設定してください

Preprocessor settings

このオプションについては Snort  のマニュアルを参照してください

Output plugins panel

  • Alert mode
    • ここではSnort configuration file の設定を上書きして設定することができます
      例: output plugin が"alert_full: alert.ids" かつ "Fast" を選択していても fast mode が用いられます
  • Log to a remote syslog
    • Windows用のsyslogデーモン(e.x. Network Translation, Inc. Syslog32)があれば,*nix ホストのsyslogデーモンを用いてログをとることができます
  • Log to eventlog (of Windows )
    • 注: IDScenter はアラートについてこの機能はサポートしていません

     

    Rule options

  • Change rule testing order: このオプションは利用できますが推奨されません
  • Global threshold values: 何をするものか知っている場合だけ設定してください ;)

Additional paramters
まだ追加したいコマンドラインオプションがあればここに記述してください


Log rotation

Log rotation はアラートログをZIP形式で圧縮し,バックアップフォルダに移動させてローテーションします.

注:

  • IDSホストがこの時にダウンしていた場合には,次回起動時にローテーションが行われます.
  • Snort はローテーションに伴い停止され,自動的に再起動されます

Setup the log rotation following these steps:

  • バックアップフォルダを選択します
    • 注: この用途に新しくフォルダを作ってください
  • ローテーションの間隔を選択します
    • Daily
    • Weekly: 曜日を選択します
    • Monthly: 月末にローテーションします
    • Interval: 何日毎にローテーションを行うか設定します
  • Time: ローテーションを行う時刻をセットします
  • ローテーションの進行度は"Show rotation progress" をクリックすることで表示することができます

 

Alerts


Alert detection
  • 少なくとも1つのアラートモードを選択してください
  • ファイルでのアラート検出モード(最高10 ファイルまでモニタリング)
    • 変更をモニタリングするファイルを追加します
    • 少なくともmain configuration panel でセットしたアラートログファイルはセットすべきです (デフォルトで自動的に追加されます)
  • MySQL を用いたアラート
    • 各パラメータをセットします(hostname, port, etc..)
    • IDScenter がデータベースサーバからデータを受信できることを確認するために"Test connection" をクリックします
    • この機能は最初にIDScenterのconfiguration panelで"Generate HTML reports"が有効になっている必要があります
注意: データベースがダウンすると,メッセージは "Overview" パネルに表示されます.


Alert notification


IDScenter's ISS NetworkICE BlackICE plugin

ここでは,このプログラムもしくはAutoBlock (要  NetworkICE BlackICE)にアラートが発 生した場合のalarm sound の有効・無効を設定することができます.

  • Alarm sound
    • "Start alarm sound when an alert is logged" を選んだ場合は再生するWAVファイルを選択します
    • alarm sound の動作を"Start sound test" でチェックできます
  • Program execution
    • IDScenter はアラートが記録されたときにこのプログラムを実行します.
      この機能はルーターの設定を行うスクリプトを走らせたり,外部プログラムを用いてHTMLページを作成したりするのに利用することができます.
  • AutoBlock - Plugin system
    注: AutoBlock を使う前に,file monitoring と file output plugin をoutput plugins wizard で有効にしておきます
    • すべてのSnort 2.x 形式のログをサポートしています. 非公式のプリプロセッサもサポートされるでしょう!
      AutoBlock はTCP/UDP ポートとICMP の情報を含んだIP のリストをプラグインに渡すために生成します.
      より詳しい情報は plugin framework for Delphi (VCL memory leak fix is included) を使ってください
    • プラグイン を選択します
    • "Plugin setup" をクリックしてプラグインのセットアップを開きます

ISS NetworkICE BlackICE plugin (second version)

ISS NetworkICE BlackICE firewall には2つのプラグインが含まれています.
1つ目はIPのみブロックします.2つ目はTCP,UDPのポートとICMPのブロックをサポートします (しかし,すべての NetworkICE BlackICE のバージョンは ICMP のルールをサポートしていません).

  • firewall.ini を選択します
  • ブロックする期間を設定します
  • apply をクリックすると準備完了

AlertMail

AlertMail はSnort が攻撃を検知したときにメールを用いてアラートを送ることができます

  • SMTP サーバの設定
  • 送信者メールアドレスの設定
  • 受信者メールアドレスの設定
    • 受信者を複数設定するには: e-mail アドレスをセミコロン(";")で区切ります
  • Optionally
    • e-mail メッセージの設定
    • 添付ファイルの追加(Snort がこのために閉じられることはありません.よってアラートログを送ることができます.)
    • アラートログの最後数行の追加 (例えば最後10行など)
    • 必要に応じてSMTP ログファイルの設定
    • SQL クエリーを有効にできます:
      • e-mail メッセージへクエリの追加 ([db: yourquery])
      • 所定のクエリを選択して"Insert" をクリックして追加します
      • マルチスレッドのコードを用いてIP アドレスの名前解決を行います
      • アラート通知: データベースのオプションは正しく設定されるに違いありません.
  • "Test AlertMail" を行う前に"Apply" をクリックします

注: もし,現在送信されているメールをキャンセルしたければ,"Cancel mail sending" をクリックします

 

内蔵ログビュワー

Note: アラートが検出されたときにトレイアイコンをダブルクリックすれば自動的にログビュワーが開きます


Alert log file in internal logviewer

alert logfile viewer で記録された最新の攻撃を見ることができます.

  • Search: 単語を検索してsearch ボタンをクリックします.次を検索するにはもう一度ボタンをクリックします.
  • IPアドレスを選択すると,ログビュワーはWHOIS エディットボックスにセットします.ARIS を使うと IP についての情報を得ることができます.
  • 他に何かを選択すると,CVE search editbox にそのテキストをセットします
  • ログファイルの印刷ができます

XML log viewer

logviewer は XML 形式のアラートログを表示することができます.XML output plugin が有効になっているIDScenter XML server はSnort からアラートデータを受け取ります. (TCP/IP 経由)

  • リモートのSnort  からのXML output plugin セットアップ
  • IDScenter host 上のIDScenter XML server のセットアップとログファイルの選択
  • IDScenter の標準ログファイルとしてこのログをセット

HTML/XML/Web site viewer

logviewer はウェブサイトを Internet Explorer を用いて表示できます

  • Type bugtraq, 1000 or cve, ... etc.  /* XXX */
    Support for: bugtraq, mcafee, arachnids, nessus, cve, url, etc
  • bugtraq , mcafee, arachnids, nessus, cve, またはURLをサポートしています.    

explorer はACID, SnortSnarf, Snort2HTML 等を使いたいときに便利です.

何か情報を探すときには,もちろんページを印刷することもできます.

 

Freeware license

The software below is supplied free. You may use the software on your system for as long as you like. You may also give copies to your colleagues, friends and family. This software is also free for companies.

You are specifically prohibited from charging, or requesting donations, for any such copies, however made and from distributing the software and/or documentation with commercial products without prior written permission from Ueli Kistler. You may distribute the software with other free applications providing that credit is given to the author where due and no profits are made directly from the software.

The software is copyrighted and may not be modified under any circumstances or included with another commercial product without written permission from the author.

You may not decompile, disassemble or otherwise reverse engineer the software. Your use of the software is at your own risk. The author shall not be held liable for consequential, special, indirect or other similar damages or claims, including loss of profits or any other commercial damages. The author specifically disclaims all other warranties, expressed or implied, including but not limited to implied warranties of merchantibility and fitness to a particular purpose.

Your use of the software constitutes your acknowledgement and acceptance of these conditions.

 

Copyright by Ueli Kistler (u.kistler@engagesecurity.com), 2003
IDScenter is copyright by Ueli Kistler
Visit www.engagesecurity.com