Snort 2.9.1がリリース、プリプロセッサの改良やルールオプションの強化などが特徴

 Snort開発チームは8月23日、「Snort 2.9.1」を公開した。オープンソースのネットワーク侵入防御/検出システム(IDS/IPS)で、LinuxやWindowsなどで動作する。Snort 2.9系のマイナーアップデート版となり、プリプロセッサの改良やルールオプションの強化などが行われている。

 Snortはオープンソースの侵入検出・防御システム。IPネットワークのトラフィックを監視し、異常なトラフィックを検出できる。パケットのプロトコルやパケット内コンテンツの分析も行い、さまざまなネットワーク異常の検出や分析が行える。シグネチャベース/プロトコルベース/アノマリベースの検出機能を組み合わせて利用でき、CGIに不正なパラメータを渡す、といったものからポートスキャン、バッファオーバーフローといったものまで、さまざまな攻撃の検出とそれに対する対処が可能。ライセンスはGPL 2で、プロジェクトは米Sourcefireの支援を受けて活動している。

 Snort 2.9.1は2010年10月にリリースされた2.9系のアップデートとなる。「プリプロセッサ」と呼ばれるパケット調査エンジンでは、HTTPおよびDCE/RPC向けのプリプロセッサでプロトコル認識型のリアセンブリに対応した。また、Stream5の改善により、HTTPとDCE/RPCのリクエストおよびリスポンスに対しより賢い調査が可能となった。

 SIPプリプロセッサでは、SIPコールチャネルの識別やルールオプションキーワードによるルールへのアクセスが可能となった。SIP通信に対するアノマリ検出を可能とするプリプロセッサも含まれている。POP3およびIMAPプリプロセッサでは、Base64、quoted-printable、uuencodedの各形式の添付ファイルのデコードが可能となり、またSMTPプリプロセッサではquoted-printable、uuencodedの添付ファイルのデコードが可能となった。

 そのほかの改善点としては、大きなpcap解析ファイルの読み込みが可能となったほか、Snortがトラフィックに関連したイベントを生成したとき、HTTPでのURLやSMTPでの添付ファイル名、メールのrecipient情報などがログに記録されるようにもなっている。IPアドレスに基づきパケットのブラックリストとホワイトリストを作成するIP Reputationプリプロセッサも実験的に導入されている。

Snort
http://www.snort.org/

ダウンロード
http://www.snort.org/snort-downloads/