Snort 入門: オープンソースIDS/IPSの世界へようこそ！

Snortは、1998年にMartin Roesch氏によって開発された、オープンソースのネットワーク侵入検知システム（NIDS: Network Intrusion Detection System）および侵入防止システム（NIPS: Network Intrusion Prevention System）です。開発当初はSourcefire社が手掛けていましたが、2013年に同社がCisco Systems社に買収されたため、現在はCiscoが開発を引き継いでいます。

オープンソースであるため、誰でも無償で利用でき、世界中の開発者やセキュリティ専門家によって改良が続けられています。その柔軟性と強力な機能から、個人利用から大企業のネットワークセキュリティまで、幅広い環境で採用されており、IDS/IPSのデファクトスタンダードとも言える存在です。多くの商用IDS/IPS製品も、内部でSnortエンジンを利用していることがあります。

Snortは、ネットワーク上を流れるパケットをリアルタイムで解析し、定義されたルール（シグネチャ）に基づいて不正な通信や攻撃の兆候を検知します。その主要な構成要素と仕組みを見ていきましょう。

1. パケットキャプチャ (Packet Capture): ネットワークインターフェースを通過するすべてのパケットを捕獲します。これはlibpcap（Linux/Unix系）やWinPcap（Windows）といったライブラリを利用して行われます。
2. プリプロセッサ (Preprocessor): キャプチャしたパケットを解析しやすくするために前処理を行います。例えば、IPフラグメントの再構成、TCPストリームの再構築、HTTPトラフィックの正規化などを行います。これにより、検知エンジンがより効率的に、かつ正確にパケットを分析できるようになります。
3. 検知エンジン (Detection Engine): Snortの心臓部です。プリプロセッサで処理されたパケットを、設定されたルールセットと照合します。ルールに合致するパケットが見つかると、検知イベントが発生します。
4. ルールセット (Rule Set): 不正な通信パターンや攻撃シグネチャを定義したものです。SnortコミュニティやCisco Talos（セキュリティインテリジェンスチーム）によって提供される公式ルールセット（コミュニティ版は無料、サブスクライバ版は有料で最新情報が早く提供される）のほか、ユーザーが独自のルールを作成することも可能です。
5. 出力モジュール (Output Module): 検知エンジンがルールに合致するパケットを発見した場合、その情報をどのように処理・通知するかを決定します。ログファイルへの記録、データベースへの保存、Syslogサーバーへの送信、アラートの表示など、様々な出力形式に対応しています。

Snortは、設定によって主に3つのモードで動作させることができます。用途に応じて適切なモードを選択します。

NIDS (Network Intrusion Detection System) は、不正な通信を「検知」して管理者に通知するシステムです。通信自体を遮断する機能はありません。一方、NIPS (Network Intrusion Prevention System) は、不正な通信を検知し、さらにその通信を「遮断（破棄）」することで侵入を未然に防ぐシステムです。Snortは設定により、どちらのモードでも動作させることが可能です。NIPSモード（インラインモードとも呼ばれる）で動作させる場合、Snortがネットワーク経路の途中に配置され、通過するパケットを検査・制御します。

Snortの検知能力の核となるのが「ルール」です。ルールは特定のトラフィックパターンを識別し、それに対してどのようなアクション（警告、ログ記録、破棄など）を取るかを定義します。ルールは「ルールヘッダ」と「ルールオプション」の2つの部分から構成されます。

ルール構文の基本形:

<アクション> <プロトコル> <送信元IP> <送信元ポート> <方向> <宛先IP> <宛先ポート> (<ルールオプション>)

ルールヘッダ (Rule Header)

• アクション (Action): ルールにマッチした場合に実行する動作。
  • alert: アラートを生成し、パケットをログに記録する。
  • log: パケットをログに記録する。
  • pass: パケットを無視する（他のルールよりも優先される）。
  • drop: パケットを破棄し、ログに記録する（IPSモード）。
  • reject: パケットを破棄し、ログに記録し、TCPの場合はTCP RST、UDPの場合はICMP port unreachableを送信する（IPSモード）。
  • sdrop: パケットを破棄するが、ログには記録しない（IPSモード）。
• プロトコル (Protocol): 検査対象のプロトコル (例: tcp, udp, icmp, ip)。
• 送信元IP (Source IP): 送信元IPアドレスまたはネットワークアドレス (例: 192.168.1.100, 192.168.0.0/24, any)。
• 送信元ポート (Source Port): 送信元ポート番号 (例: 80, 1024:, any)。
• 方向 (Direction): トラフィックの方向 (->: 左から右へ, <>: 双方向)。
• 宛先IP (Destination IP): 宛先IPアドレスまたはネットワークアドレス。
• 宛先ポート (Destination Port): 宛先ポート番号。

ルールオプション (Rule Options)

ルールヘッダの条件に一致したパケットに対して、さらに詳細な検査条件を指定します。セミコロン(;)で区切られたキーワードと値のペアで記述されます。

• msg: アラートやログに出力されるメッセージ。msg:"<メッセージ内容>";
• content: パケットのペイロード（データ部分）に含まれるべき特定のバイト列。content:"|FF D8|"; (JPEG画像の開始マーカー)
• sid (Snort Rule ID): ルールを一意に識別するためのID。1,000,000以上の値がカスタムルール用に予約されています。sid:1000001;
• rev (Revision Number): ルールのリビジョン番号。ルールを修正するたびにインクリメントします。rev:1;
• classtype: ルールが属する攻撃のカテゴリ。classtype:web-application-attack; (classification.configで定義)
• priority: アラートの優先度。priority:2; (数値が小さいほど高優先度)
• その他、flow, flags, dsize, pcre (正規表現), http_* (HTTP関連) など多数。

ルール記述例

例1: 外部から内部ネットワークへのSSH接続試行を検知して警告する

alert tcp any any -> $HOME_NET 22 (msg:"SSH connection attempt"; flow:to_server,established; sid:1000001; rev:1; classtype:attempted-recon;)

• alert tcp: TCPプロトコルで警告を出す
• any any: 任意の送信元IP、任意の送信元ポート
• -> $HOME_NET 22: HOME_NET (通常は内部ネットワーク) のポート22へ
• (msg:"..."; flow:...; sid:...; rev:...; classtype:...;): ルールオプション
  • msg: ログメッセージ
  • flow: サーバへの確立済み接続
  • sid: ルールID
  • rev: リビジョン番号
  • classtype: 攻撃分類

例2: HTTPトラフィック内に特定の文字列 “evil.exe” が含まれていたら警告する

alert tcp any any -> any 80 (msg:"Detected evil.exe download attempt"; content:"evil.exe"; nocase; sid:1000002; rev:1; classtype:trojan-activity;)

• content:"evil.exe": ペイロード内に “evil.exe” があるか
• nocase: 大文字小文字を区別しない

長年にわたり利用されてきたSnort 2系から、大幅なアーキテクチャ変更と機能強化が行われたSnort 3 が登場しました。Snort 3は、パフォーマンス、スケーラビリティ、設定の容易さなどが向上しています。最新バージョンは 3.1.81.0 (2024年2月16日時点) です。

Snort 2とSnort 3の主な違いを比較してみましょう。

Snort 3への移行は、特に高トラフィック環境や最新のプロトコルへの対応が必要な場合に大きなメリットがあります。設定方法やルール構文に違いがあるため、移行には学習と検証が必要ですが、将来性やパフォーマンスを考えるとSnort 3の利用が推奨されます。

Snortのインストール方法はOSによって異なります。多くのLinuxディストリビューションではパッケージマネージャ (apt, yumなど) を利用してインストールできますが、常に最新版が提供されるとは限りません。最新版や特定の機能を利用したい場合は、公式サイトからソースコードをダウンロードしてコンパイル・インストールする方法もあります。

一般的なインストール手順 (Linux例)

1. 依存関係のインストール: Snortのビルドや実行に必要なライブラリ (libpcap-dev, pcre-dev, libdnet-dev, zlib1g-dev, openssl, libssl-dev など。Snort 3ではさらに多くの依存関係が必要) をインストールします。

   # Ubuntu/Debian 系 (例)
   sudo apt update
   sudo apt install -y build-essential libpcap-dev libpcre3-dev libnet1-dev zlib1g-dev luajit hwloc libdnet-dev libdumbnet-dev bison flex liblzma-dev openssl libssl-dev pkg-config libhwloc-dev cmake cpputest libsqlite3-dev uuid-dev libcmocka-dev libnetfilter-queue-dev libmnl-dev autotools-dev libluajit-5.1-dev libunwind-dev # Snort 3 の依存関係例

   Copy
2. DAQのインストール (Snort 3): Snort 3ではData Acquisition library (DAQ) が別途必要になる場合があります。ソースからビルド・インストールします。
3. Snortのダウンロードとコンパイル: 公式サイトからSnortのソースコードをダウンロードし、展開してコンパイル、インストールを行います。

   wget https://www.snort.org/downloads/snort/snort-<version>.tar.gz
   tar -xzf snort-<version>.tar.gz
   cd snort-<version>
   ./configure # オプションを指定する場合あり (例: --enable-sourcefire)
   make
   sudo make install

   Copy

   ※ Snort 3の場合はCMakeを使用するなど、手順が異なります。

4. 設定ファイルの配置: 設定ファイル (`snort.conf`など) やルールファイルを適切なディレクトリ (例: `/etc/snort/`) に配置します。ソースからインストールした場合、ソースディレクトリ内の `etc` ディレクトリにあるサンプルファイルをコピーすることが多いです。
5. ユーザー/グループ作成: Snortを専用の非特権ユーザー (例: `snort`) で実行することが推奨されます。
6. ディレクトリ作成と権限設定: ログディレクトリ (例: `/var/log/snort`) などを作成し、Snort実行ユーザーが書き込めるように権限を設定します。

基本的な設定 (`snort.conf`)

Snortの動作は主に `snort.conf` (Snort 3では `snort.lua` など) という設定ファイルで制御されます。以下は `snort.conf` (Snort 2系) の重要な設定項目の一部です。

• `ipvar HOME_NET …` / `ipvar EXTERNAL_NET …`: 保護対象の内部ネットワーク (HOME_NET) と、それ以外の外部ネットワーク (EXTERNAL_NET) を定義します。通常、`EXTERNAL_NET` は `!$HOME_NET` (HOME_NET以外すべて) と設定します。

  ipvar HOME_NET 192.168.1.0/24
  ipvar EXTERNAL_NET !$HOME_NET

  Copy
• `var RULE_PATH …`: ルールファイルが格納されているディレクトリパスを指定します。
• `var SO_RULE_PATH …` / `var PREPROC_RULE_PATH …`: 共有オブジェクトルールやプリプロセッシングルールのパスを指定します。
• `var WHITE_LIST_PATH …` / `var BLACK_LIST_PATH …`: ホワイトリスト/ブラックリストファイルのパスを指定します。
• `preprocessor …`: 使用するプリプロセッサとその設定を記述します。フラグメント再構成、ストリーム再構築、各種プロトコルデコーダ (http_inspect, ftp_telnet, smtpなど) の設定が含まれます。
• `output …`: アラートやログの出力方法と設定を記述します (例: `output alert_fast: alert.fast`, `output log_tcpdump: tcpdump.log`)。Syslogへの出力設定 (`output alert_syslog: …`) も可能です。
• `include $RULE_PATH/…`: 読み込むルールファイルを指定します。`local.rules` など、カスタムルール用のファイルを含めることが重要です。

Snortはコマンドラインから実行します。基本的な実行コマンドとオプションを見てみましょう。

• 設定ファイルのテスト:

  sudo snort -c /etc/snort/snort.conf -T

  Copy
• NIDSモードで起動 (コンソールに簡易アラート表示):

  sudo snort -c /etc/snort/snort.conf -A console -i eth0

  Copy
  • -c <設定ファイル>: 使用する設定ファイルを指定。
  • -A console: アラートをコンソールに簡易表示。他に fast (高速アラート形式), full (完全パケットヘッダ表示), syslog, none など。
  • -i <インターフェース>: 監視するネットワークインターフェースを指定。
• NIDSモードで起動 (バックグラウンド実行、ログファイル出力):

  sudo snort -c /etc/snort/snort.conf -l /var/log/snort -D -i eth0 -u snort -g snort

  Copy
  • -l <ログディレクトリ>: ログを出力するディレクトリを指定。
  • -D: デーモンモード（バックグラウンド）で実行。
  • -u <ユーザー>: Snortを実行するユーザーを指定。
  • -g <グループ>: Snortを実行するグループを指定。
• インラインモード (NIPS) で起動 (要設定):

  sudo snort -c /etc/snort/snort.conf -l /var/log/snort -Q --daq afpacket --daq-mode inline -i eth0:eth1 -u snort -g snort

  Copy
  • -Q: インラインモードを有効化。
  • --daq <type>: 使用するDAQモジュールを指定 (例: afpacket, ipfw, pcap)。
  • --daq-mode inline: DAQのモードを指定。
  • -i eth0:eth1: インラインモードで使用する2つのインターフェースを指定。
• pcapファイルの読み込み分析:

  snort -c /etc/snort/snort.conf -r traffic.pcap -l ./log

  Copy
  • -r <pcapファイル>: 分析するpcapファイルを指定。

通常、NIDS/NIPSモードで運用する場合は、Systemdなどのサービス管理システムを使って、システムの起動時に自動的にSnortが起動するように設定します。

Snortはその柔軟性と強力な機能により、様々な場面で活用されています。

• 不正アクセス検知: ポートスキャン、脆弱性を狙った攻撃、マルウェア感染の通信などをリアルタイムで検知します。
• 侵入防止: NIPSモードで運用することで、検知した攻撃通信を自動的に遮断し、被害を未然に防ぎます。
• ネットワークフォレンジック: パケットロガーモードで収集したパケットデータを分析し、インシデント発生時の原因調査や証拠保全に役立てます。
• ポリシー準拠の監視: 組織内のネットワークポリシーに違反する通信（許可されていないプロトコルの使用など）を監視します。
• トラフィック分析: ネットワーク上を流れるトラフィックの種類や傾向を把握し、ネットワーク管理や最適化に役立てます。

Snortを利用するメリット:

• オープンソース & 無料: ライセンス費用がかからず、導入コストを抑えられます。
• 高いカスタマイズ性: ルールや設定を自由にカスタマイズでき、特定の環境に最適化できます。
• 活発なコミュニティ: 世界中のユーザーや開発者によるサポートや情報共有が活発です。ルールセットも頻繁に更新されます。
• 豊富な実績: 長年にわたり多くの環境で利用されており、信頼性と安定性が高いです。
• 学習リソース: IDS/IPSの仕組みやネットワークセキュリティを学ぶための優れた教材となります。

Snortは、ネットワークセキュリティの分野で非常に強力かつ柔軟なオープンソースIDS/IPSツールです。ネットワークトラフィックを監視し、ルールに基づいて脅威を検知・防御する基本的な仕組みから、Snort 3での大幅な機能強化まで、その概要を解説しました。

導入と設定にはある程度の知識と手間が必要ですが、適切に設定・運用すれば、ネットワークの安全性を大幅に向上させることができます。オープンソースであるため、コストを抑えつつ高度なセキュリティ対策を実現したい場合や、ネットワークセキュリティの学習を深めたい場合に、Snortは最適な選択肢の一つとなるでしょう。

この記事が、Snortの世界への第一歩となる助けになれば幸いです。ぜひ、実際に試してみて、そのパワフルな機能を体験してください！