Windows環境で使用する場合は、まずWinPcapをインストールする必要がある。WinPcapはhttp://winpcap.polito.it/から入手できる。本稿執筆時点での最新版は3.1 beta 3であるが、安定性を考慮し3.0をインストールすることとする。
ダウンロードした「WinPcap_3_0.exe」をダブルクリックすると、下記のような画面が表示されるので、「Next」ボタンをクリックする。
続いて、ライセンス許諾の画面が表示される。ライセンスの内容を確認した後、「Yes,I agree with all the terms of this license agreement」という一文の左側にあるチェックボックスにチェックを入れ、「Next」ボタンをクリックする。
その後ファイルのコピーが行われる。ファイルコピー終了後、下記の画面が表示される。「もし古いバージョンのWinPcapがインストールされている場合、システムを再起動することを強く推奨する」といった内容である。もし、すでに古いバージョンをインストールしているなら、メッセージに従い再起動する。
下記の画面が表示されればWinPcapのインストールは無事終了となる。「OK」ボタンをクリックし、インストールは終了となる。
Windows版のSnortもSnortの公式サイトから入手できる。http://www.snort.org/dl/binaries/win32/から最新版のインストーラを入手すればよい。本稿執筆時点での最新版であるsnort-2_1_3.exeをダウンロードする。なお、インストール時にはAdministrator権限が必要となるので注意してほしい(Windows XP Professional Edition SP1にて動作確認を行った)。
インストーラを入手したら、アイコンをダブルクリックし、インストーラを起動する。起動するとライセンス許諾の画面が表示される(GNU Public Licence Version 2が適用される。日本語訳はhttp://www.opensource.jp/gpl/gpl.ja.htmlから参照できる)。ライセンスに同意するなら、「I Agree」ボタンをクリックする。
下記のような画面が表示されるので、運用方法に合った項目を選択し、「Next」ボタンをクリックする。なお、Windows版のSnortにはすでにMySQLおよびODBCのサポートが含まれている。
各選択肢の簡単な訳を下記に記載しておく。
*私はデータベースへのログ出力を計画していないか、上記にリストされたいずれかのデータベース(MySQLまたはODBC)へのログ出力を計画しています。
*私はMicrosoft SQL Serverへのログ出力サポートを必要としています。SQL Serverのクライアントソフトがすでにこのコンピュータへインストールされている必要があります。
*私はOracleへのログ出力サポートを必要としています。Oracleのクライアントソフトがすでにこのコンピュータへインストールされている必要があります。
今回はMySQLを使用するので、一番上の選択肢を選択し、「Next」ボタンをクリックする。
続いてインストールするコンポーネントの選択画面となる。特別な理由がなければ、すべてにチェックを付けておけばよい(すべてインストールすると約8.7Mbytesが必要となる)。
次にインストール先フォルダの選択画面となる。デフォルトでは「c:\snort」となっているので、変更する必要がある場合は、そのディレクトリをフルパスで指定する。なお、空白や日本語が含まれるフォルダは極力避けた方がよい。
インストール先フォルダを指定したら、「Install」ボタンをクリックする。するとインストールが始まるので、しばらく待つ。
インストールが終了すると、下記のような画面となる(下記は「Show Details」ボタンを押下した場合)。「Close」ボタンをクリックする。
すると下記のようなダイアログが表示される。このダイアログ中でWinPcapのインストールを行うようにと書かれているが、すでにインストールしているため無視してよい。
これでSnortのインストールは終了となる。
設定方法はGNU/Linuxの場合と同様であるため、詳細はそちらを確認してほしい。1つ注意が必要なことがある。snort.conf中のRULE_PATH変数および*.confファイルの指定部分は、フォルダ名を指定しない場合、Snortを実行しているフォルダ内に各ファイルが存在している必要がある。よって、これらを指定する場合は絶対パスで指定するとよい。
実行方法についても、ほとんどGNU/Linuxの場合と同様である。しかしながら、ほかのWindowsアプリケーションと異なり、コマンドプロンプトから起動する必要がある。Windows版で使用できるオプションについては、インストールされたマニュアルを参照するか、コマンドラインから「snort -h」を実行することによって確認できる。なお、正常にインストールできたかどうかを判定するには、下記のようにコマンドを入力し、出力を確認すればよい。
C:\Snort\bin>snort -V -*> Snort! <*- Version 2.1.3-ODBC-MySQL=FlexRESP-WIN32 (Build 27) By Martin Roesch (roesch@soucefire.com, www.snort.org) 1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike) 1.8 - 2.1 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com) C:\Snort\bin>
これでシステムにSnortが正常にインストールされた。これでIDSとしてSnortを運用することができるようになったが、この状態で運用すると数多くの誤検知が発生すると思う。これを避ける方法については、後々説明していきたいと思う。
次回はACIDのインストールと設定を行い、実際に出力されたアラートを参照しながら解説していこうと思う。
Copyright © ITmedia, Inc. All Rights Reserved.