「エアコンの安全な修理・適切なフロン回収」はこちら

Fedora40 ; SURICATA , SNORT3インストール

Suricata インストール

SURICATA IDS/IPSはネットワーク上の通信を監視し、不審なトラフィックを検知するオープンソースのIDSです。基本的な仕組みはシグネチャ型であるため、あらかじめ設定した不正な通信を検知できます。また、Suricataは検知だけでなく防御も行えることが特徴です。

1.Suricata のインストールと設定

①Suricata  インストール

➁バージョン確認

➂Suricataがネットワークパケットを検査するインターフェースとIPアドレスを決定

④設定ファイルを編集

⑤Suricataのルール更新

⑥Suricataの起動

⑦Suricataの起動確認

ログを確認

統計情報を確認するには、stats.log ファイルを確認します(デフォルトで8秒ごとに更新)

より高度な出力であるEVE JSONは、以下のコマンドで生成することができる

3.Suricata のテスト

①curl ユーティリティで ping テストを実行

②ログに記録されたかどうかを調べるため、アラートログを確認

4.Suricata Rulesの設定

①Suricataにパッケージされているルールセットの表示

②ルールセットを提供するソースのインデックス一覧

③ソースを有効にする(et/openを有効にする場合)

アップデートを実行

Suricata service再起動

5.Suricata Custom Rulesの作成

①カスタマールールを含むファイルを新規作成

②設定ファイルを編集(上記local.rulesのパスを定義)

③設定ファイルのテスト

Suricat service再起動

④Custom Rulesの適用テスト

同一ローカルネットワーク上の別のデバイスでpingを実行し、ログに記録されたかどうかを確認する

JSON形式のログを取得するには、システムにjqをインストールする

下記コマンドを実行し、同一ローカルネットワーク上の別のデバイスでpingを実行する

SNORT3

 Snortは、IPネットワーク上でリアルタイムのトラフィック分析とパケットロギングを実行できるオープンソースのネットワーク侵入検知システムです。

「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、「バッファオーバーフロー」「ステルスポートスキャン」「CGI攻撃」「SMBプローブ」「OSフィンガープリント試行」「セマンティックURL攻撃」「サーバメッセージブロック探査」など、さまざまな攻撃検出に使用できます。

1.事前準備

1.1 必須パッケージのインストール

1.openssl-develのインストール

2.cmakeのインストール

1.2 必要なパッケージのインストール
1.3 LibDAQのインストール
1.4 オプションパッケージのインストール

1.LZMAとUUIDのインストール

2.Hyperscanのインストール

3.Safecのインストール

4.Tcmallocのインストール

2. Snort3のインストール

configureの実行

ビルド、コンパイル、インストール

バージョン確認

テスト実行

ネットワークインターフェースの設定

ネットワーク インタフェースを確認

ネットワーク・インターフェース名はens160である

ネットワークインターフェイスをプロミスキャスモードに設定する。こうすることで、ネットワークデバイスはすべてのネットワークパケットをキャプチャし、検査できるようになる。

設定を確認

ネットワーク・インタフェースのオフロード・ステータスを確認。インタフェースのネッ トワーク・トラフィックを監視する必要がある場合は、オフロードを無効にする必要がある

LROとGROのオフロードステータスはオフ状態になっている

Snortネットワークインターフェース用のsystemdサービスを作成する

systemd デーモンが変更を適用する

Snort NICサービスのステータスを確認

Snortコミュニティ・ルールセットを追加

1.Snortルール用のフォルダを作成し、SnortのWebサイトからコミュニティルールセットをダウンロードし、所定のルールディレクトリーに配置

2.Snortメイン設定ファイルを編集

3.Snortのメインコンフィグレーションの変更をテスト

カスタムルールの追加

1.Snort rulesディレクトリにファイルを作成する

2.Snortメイン設定ファイルを編集
カスタム ルール ファイル ディレクトリをメイン構成に含めるためSnortメイン設定ファイルを編集

3.Snortのメインコンフィグレーションの変更をテスト

OpenAppIDエクステンションをインストール

OpenAppIDエクステンションをインストールすると、Snortはアプリケーションレイヤーレベルでネットワーク脅威を検出できるようになります

1.OpenAppIDエクステンションダウンロードと展開

2.解凍したフォルダ(odp)を以下のディレクトリにコピー

3.Snortメイン設定ファイルを編集し、OpenAppIDフォルダの場所を定義