- 締切済み
Snortを入れてから接続が不安定
最近自宅サーバーをWindowsからLinux(VineLinux)へ変えて、セキュリティーで何かのマシにでもということでSnortを導入したのですが、Snortを入れてからネットワークへの接続が不安定なんです。 パケットを検査するので、ある程度レスポンスが低下するのは承知の上だったんですが、接続できなくなってしまうのは困るので、いろいろいじったり調べたりしたのですが原因がわからず… 同様の現象を経験したかたや情報をお持ちの方で、なんでもいいので、教えていただけたら、と思っています。 環境は VAIO PCG-505RS(ノートパソコン)にて無線LANカードを使ってネットワークに繋いでいます。 モデム(ルーター機能つき)⇒無線LANルーター⇒サーバー機 ※まだ最低限の対策しかしていない為公開していません。 状態は 電源投入後、デーモンなどが起動しログオンしw3m(ブラウザ)などで接続するも接続できませんでした。ローカル内の他のWindowsPCからサーバー機へポートスキャンしてみましたが応答がありませんでした。 でも何故か、電源を入れた状態で無線LANカードを外して、再度入れると問題なく接続できるんです。しかし数時間立つとまた繋がらなくなります。 よろしくお願いいたします。
- fidea
- お礼率83% (55/66)
- ハードウェア・サーバー
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- Jimo
- ベストアンサー率37% (68/179)
確かにBlackICEはいじったことがありますが,私がいじったことがあるのは,そのBlackICE社を吸収した 側の,ISS社の製品です。主に,IDS(Passive型)の時代のものをいじっていました(だいぶ前)。 FlexRespは別モジュールなのですね。私はてっきり標準でTCP Resetを送れるものと思っていました。 その機能がないとすると,なぜ遮断が起きるのですかね。sniffing用のドライバが何か干渉している 可能性はありますね。 お役に立てなくて,申し訳ない。報告をお待ちします。
- Jimo
- ベストアンサー率37% (68/179)
最初に書くのを忘れていましたが,私はsnortはいじったことがありません。別のIDSはいじった 事があるのですが。 UPnP(Universal Plug and Play)は,恐らくWinXP以降のマシンが勝手にパケットを流しています。 ルータはそれを中継しているに過ぎないのでは?もちろん,ルータがUPnP対応だと,自分も パケットを出している可能性はありますが。UPnPが不要の環境であれば,各PCのUPnPも殺した ほうが良いと思います。でも,他にも何か遮断しているパケットはないですか?もしできるなら, まずsnortを検知だけのモードにして運用し,詳細なログを取るように設定した方がいいと思います。 次のステップで,RS KILLを発行するような,いわゆるIDPモードに変更するようなことを考えた方が トラブル解決には近道だと思います。
お礼
ルーターにて接続済みかを定期的に確認しに来ていたのでそれかな~とは思っていたのですが、LAN内のPCから送信された可能性もありますしね…少々ログを見ながら確認してみます。とりあえずルーターにてUPnPを無効にしました。話は変わりますが、数日前に(19日ぐらい)snortのセキュリティーホールが発見されたそうで、それを修正したバージョンがリリースされたので、現在の旧Snortをアンインストールしてもう一度最初から設定ファイルを書いて確認してみます。後日ここに書きますので、まだ締め切らないで置こうと思います。明日ぐらいには確認できるかと思いますので再度結果を報告します。
補足
あと、言い忘れていましたがSnortは不正なアクセスを検出し、ログに記録する機能しかありません。なので勝手にパケットを停止することはしないはず(それでもいいんですがね 笑)なんですが、Snortを入れるとこの現象がでますので、ちょっと気になります…デーモンからSnortを弾くと問題なく繋がるので。もしかしてJimoさんはFlexRespやBlackICEを使っていたのですか??(こちらは自動的にパケットを停止する機能があったはずなんで)予定ですが、私はSnortが動いたらFlexRespも入れようと思っています。FlexRespだけでもいいんですが、詳細なログが見たかったので。
- Jimo
- ベストアンサー率37% (68/179)
何かカウンタ(総数,ないしは単位時間あたりの件数)を持ったシグネチャが活きていませんか? そのカウントが閾値に達して,防御しているように読めるのですが。 ログは確認したのですか?
お礼
ご返事ありがとうございます。ログの方は無線LANルータ(192.168.1.1)からの転送接続?(MISC UPnP malformed advertisement {UDP} 192.168.1.1:1900 -> 239.255.255.250:1900)が数十秒間隔でアクセスが来ています。これはWindowsサーバーの時もファイヤーウォールソフトの警告にて確認していたのですが、ルーターの設定をいじっても解決しませんでした。たぶんですが、ルーターが接続を確認しているのではないかと思っていますが、よくわかりません。これはなんらかの設定にて、記録しないまたは無視するように設定しないといけないのでしょうか??
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
いえいえ、少しでも情報をいただけると勉強になります。ありがとうございます。 先ほどrpm -eで全て削除し、残った設定ファイルも削除して、最初から入れなおしてみました。今回は特に設定ファイルをいじることなく起動してみましたがダメでした。(といっても設定ファイルの変更は「ローカルからの攻撃は記録しない」ぐらいですが) 本当にSnortが悪さしているのか気になったので、Webサーバーに動画を置いて、ストリーム(ダウンロード)している間にSnortを起動(Service snortd start)を行ってみたところ、数秒後にストリームがストップし、アクセスできなくなってしまいました。この事から、Snortが原因なのは確実かと思います。 >sniffing用のドライバが何か干渉している可能性はありますね。 sniffingは変更できるのでしょうか??