入れてみようかなと考えてみる。
* Snortを導入する その1
今回から数回にわたり、Linuxサーバへの不正侵入を検知するためのIDSの導入方法について述べていくこととする。手始めは、IDSとして有名な「Snort」の導入から運用方法について解説していこう
* ネットワーク型IDS「Snort」の導入
Tripwireに続き、ネットワーク型IDSである「Snort」の導入方法を紹介する。Snortを導入することにより、ホスト型IDSでは対応できない攻撃も検出可能になる。
Snortは、以前紹介した(第7回 Linuxで使える侵入検知システム(IDS))ネットワーク型のIDSに分類されるツールです。ネットワーク型IDSは、ネットワーク上を流れる通信の内容を監視し、攻撃を受けているか否かを検出します。ポートスキャンなどは「攻撃」というよりも「攻撃のための事前調査」とした方が表現としては適切かもしれません。ネットワーク型IDSは、このポートスキャンなども検知できます。また、疑わしい通信を検出することで、侵入などの被害を未然に防ぐことが期待できるのです。