AlmaLinux9.4 ; SNORT3 インストール

SNORT3

 Snortは、IPネットワーク上でリアルタイムのトラフィック分析とパケットロギングを実行できるオープンソースのネットワーク侵入検知システムです。

「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、「バッファオーバーフロー」「ステルスポートスキャン」「CGI攻撃」「SMBプローブ」「OSフィンガープリント試行」「セマンティックURL攻撃」「サーバメッセージブロック探査」など、さまざまな攻撃検出に使用できます。

1.事前準備

1.1 必須パッケージのインストール

1.openssl-develのインストール

2.cmakeのインストール

1.2 必要なパッケージのインストール

1.3 LibDAQのインストール

1.4 オプションパッケージのインストール

1.LZMAとUUIDのインストール

2.Hyperscanのインストール

3.Safecのインストール

4.Tcmallocのインストール

2. Snort3のインストール

configureの実行

ビルド、コンパイル、インストール

バージョン確認

テスト実行

ネットワークインターフェースの設定

ネットワーク インタフェースを確認

ネットワーク・インターフェース名はens160である

ネットワークインターフェイスをプロミスキャスモードに設定する。こうすることで、ネットワークデバイスはすべてのネットワークパケットをキャプチャし、検査できるようになる。

設定を確認

ネットワーク・インタフェースのオフロード・ステータスを確認。インタフェースのネッ トワーク・トラフィックを監視する必要がある場合は、オフロードを無効にする必要がある

LROとGROのオフロードステータスはオフ状態になっている

Snortネットワークインターフェース用のsystemdサービスを作成する

systemd デーモンが変更を適用する

Snort NICサービスのステータスを確認

Snortコミュニティ・ルールセットを追加

1.Snortルール用のフォルダを作成し、SnortのWebサイトからコミュニティルールセットをダウンロードし、所定のルールディレクトリーに配置

2.Snortメイン設定ファイルを編集

3.Snortのメインコンフィグレーションの変更をテスト

カスタムルールの追加

1.Snort rulesディレクトリにファイルを作成する

2.Snortメイン設定ファイルを編集
カスタム ルール ファイル ディレクトリをメイン構成に含めるためSnortメイン設定ファイルを編集

3.Snortのメインコンフィグレーションの変更をテスト

OpenAppIDエクステンションをインストール

OpenAppIDエクステンションをインストールすると、Snortはアプリケーションレイヤーレベルでネットワーク脅威を検出できるようになります

1.OpenAppIDエクステンションダウンロードと展開

2.解凍したフォルダ(odp)を以下のディレクトリにコピー

3.Snortメイン設定ファイルを編集し、OpenAppIDフォルダの場所を定義

4.Snortのメインコンフィグレーションの変更をテスト

すべてのコンフィギュレーションが正しくセットアップされていることを確認する

リモートコンピュータからサーバのIPアドレスにpingコマンドを送信します。これにより、ホストサーバーのコンソールウィンドウにアラートログが表示されます

Snort systemdサービスの設定

1.Snortサービス用のユーザの作成

2.ログフォルダの作成とパーミッションの設定
Snortログ用のディレクトリフォルダを作成し、フォルダパーミッションを設定

3.Systemdサービスファイルの作成

Snortサービスをリロードして有効にする

Snortサービスを開始

ステータスを確認

Snort IDS ロギング

1.Snort JSONロギングの設定

2.Snortを再起動

3.ログファイルを確認
リモートコンピュータからサーバにpingコマンドを実行する。Snort alert_json.txtファイルに保存されます。

以上でSnort 3のインストールと設定が完了