セキュリティ対策 - ネットワーク侵入検知/防止 Snort - rules を見てみる

 クラウディア
1. 概要
2. 見てみる
3. 何もないものもある

1. 概要

 「oinkcode」を取得して、せっかく公式(?)な、ルールを取得しているのですが、実はまだ(2023年6月6日)有効にしていない。  いきなり、有効にして、ネットワークに支障があるのが怖いのだ。  ネットワーク侵入検知と防止の機能があるらしいので、検知はよいとして、防止の機能で、自分がログインできなくなったらどうしようとか・・・杞憂かもしれないが。  とりあえず、ダウンロードした、ルールをながめて見ようと思うのであります。

2. 見てみる

 ルールを取得したところにも書いていますが。

ls -l /usr/local/etc/snort/rules/*.rules | wc -l
 で数えてみたら、116 あります(2023年6月6日)。

3. 何もないものもある

 ファイルのサイズを見てみると、1000バイトちょっとくらいのものがあります。  これは、たいてい、中身には有効なルールは書かれていません。  試しに、2023年6月6日時点で、1032バイトの「web-php.rules」を見てみると

# Copyright 2001-2023 Sourcefire, Inc. All Rights Reserved.
#
# This file contains (i) proprietary rules that were created, tested and certified by
# Sourcefire, Inc. (the "VRT Certified Rules") that are distributed under the VRT
# Certified Rules License Agreement (v 2.0), and (ii) rules that were created by
# Sourcefire and other third parties (the "GPL Rules") that are distributed under the
# GNU General Public License (GPL), v2.
#
# The VRT Certified Rules are owned by Sourcefire, Inc. The GPL Rules were created
# by Sourcefire and other third parties. The GPL Rules created by Sourcefire are
# owned by Sourcefire, Inc., and the GPL Rules not created by Sourcefire are owned by
# their respective creators. Please see http://www.snort.org/snort/snort-team/ for a
# list of third party owners and their respective copyrights.
#
# In order to determine what rules are VRT Certified Rules or GPL Rules, please refer
# to the VRT Certified Rules License Agreement (v2.0).
#
#---------------
# WEB-PHP RULES
#---------------
 とまぁ、全部コメントです。  逆に、一番大きいのが、「malware-other.rules」ですな。  3.3MB あります。  中を覗いてみると、全体で 4070行、定義がずらっと並んでいるのですが、結構、コメントアウトされています。  コメントされていない行が出現するのが、下記からですね。

alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:"MALWARE-OTHER Keylogger ghost Keylogger runtime detection - flowbit set"; flow:to_server,established; content:"|23|"; nocase; content:"Ghost"; distance:0; nocase; content:"keylogger"; distance:0; nocase; content:"has"; distance:0; nocase; content:"started"; distance:0; nocase; pcre:"/^\x23\s+Ghost\s+Keylogger\s+has\s+started\x2E/smi"; flowbits:set,ghost_keylogger_start; flowbits:noalert; metadata:service smtp; reference:url,attack.mitre.org/techniques/T1056; reference:url,www3.ca.com/securityadvisor/pest/pest.aspx?id=70892; classtype:successful-recon-limited; sid:9649; rev:6;)
 これ、1行ですからね、1行が結構長い。  また、その後もコメントアウトされている行が続いたりします。