サイバー攻撃の標的となるホストやネットワークの事前調査の為、ポートスキャンが利用されます。
その為、ポートスキャンを監視することにより、サイバー攻撃を防ぐことに有効です。
※但し、全てのポートスキャンが検知できる訳ではないので、注意が必要です。
■ Suricataとは
Suricataは、オープンソースの侵入検知システム(IDS)/侵入防御システム(IPS)です。
■ 検証環境
Ubuntu 16.04
Suricata 3.2.1
■ Suricataを導入・起動
◆インストール
$ sudo add-apt-repository ppa:oisf/suricata-stable
$ sudo apt-get update
$ sudo apt-get install suricata
◆設定ファイル
$ sudo cp -p /etc/suricata/suricata.yaml /etc/suricata/suricata.yaml.org
$ sudo vi /etc/suricata/suricata.yaml
~ suricata.yaml を編集 ~
$ diff /etc/suricata/suricata.yaml /etc/suricata/suricata.yaml.org
< HOME_NET: "[検証サーバのIPアドレス]"
> HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
$ sudo vi /etc/suricata/rules/emerging-scan.rules
~ 検知するポートスキャンを有効にする ~
◆Suricataを起動
$ sudo suricata -c /etc/suricata/suricata.yaml -i enp0s8
■ Suricataのログを確認
検知したアラートは、/var/log/suricata/fast.log に出力されます。
◆ポートスキャンの一例
05/21/2017-20:25:41.797608 [**] [1:2100469:4] GPL SCAN PING NMAP [**] [Classification: Attempted Information Leak] [Priority: 2] {ICMP} ***.***.***.***.*** -> ***.***.***.***
◆OSフィンガープリントの一例
05/21/2017-20:29:18.608698 [**] [1:2018489:3] ET SCAN NMAP OS Detection Probe [**] [Classification: Attempted Information Leak] [Priority: 2] {UDP} ***.***.***.*** -> ***.***.***.***