Linuxをブリッジ化して、その上でFlexResp機能を搭載したSnortを稼動させ、不正侵入を防ぐ要塞ホストの構築を目指します。
ちなみに、なぜブリッジ化するかというと、DMZなどでの複数のサービス提供ホストに対してのアクセスを一括して監視することが可能だからです。 逆に言うと、サービス提供ホストが1台しか無いような場合は無用の長物ということになります。我が家のような自宅サーバの環境ではメリットがないかもしれません。
今回のシステムを最も活用出来そうな図を示すと下記のようになります。今回の説明の為に割当てているIPアドレスはプライベートIPアドレスですが、もちろんグローバルIPアドレスでも問題ありません。
(「今時のWebサイトなら画像で説明しろ」とか言われそうですが、テキストブラウザでも問題なく閲覧できるように"画像はなるべく使わない。"ことをポリシーとしているもので…。(ウソ。そのうち画像ファイルに置き換えます) )
ブリッジ化するホストのOSにはVine Linux 3.2を使います。ところで、最近はIDPSって言わないのですかねぇ…。SnortのMLでもそんなこと書いてあったような気がするのですが…。
今回のIDPS化をするに当たって、各ソフトウェアのバージョンは以下の通りです。
Vine Linux 3.2の初期構成としては、カスタムインストールでパッケージグループとして、『システム管理ツール』と『基本開発ソフトウェア』『その他のソフトウエア』を選んでいます。 もし、他に必要なパッケージなどあれば任意で入れてください。
| OS | Vine Linux 3.2 |
| kernel | Kernel 2.4.31-0vl1.10 |
| Snort | Snort 2.4.3-1 |