OracleLinux8.10 ; SNORT3 インストール

SNORT3 インストール

Snortは、IPネットワーク上でリアルタイムのトラフィック分析とパケットロギングを実行できるオープンソースのネットワーク侵入検知システムです。

「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、「バッファオーバーフロー」「ステルスポートスキャン」「CGI攻撃」「SMBプローブ」「OSフィンガープリント試行」「セマンティックURL攻撃」「サーバメッセージブロック探査」など、さまざまな攻撃検出に使用できます。

1.事前準備

①CodeReady Red Hat リポジトリを追加し、必要なソフトウェアをインストールする

必要なビルドツールとライブラリをインストール

②DAQ のインストール
作業ディレクトリーを作成し、そのディレクトリーに移動し進める

③Tcmallocインストール

2. Snort をダウンロード、コンパイル、インストール

バージョンについては最新のものに変更してください

共有ライブラリを更新

バージョンを確認

3. ネットワークインターフェースカードの設定

Snortがネットワークトラフィックをリッスンしているインタフェースをプロミスキャスモードにして、Snortに送信されたすべてのネットワークトラフィックを参照できるようにします。

検証

インターフェイス オフロードを無効にする
まずこの機能が有効になっているかどうかを確認

GRO,LROを無効にする

システムの再起動後も変更が持続するように、systemd サービスユニットを作成して有効にし、変更を反映する

設定をリロードして、起動時にサービスを開始し、有効にする

4.コミュニティルールの使用

①Snort Rulesディレクトリを作成

➁Snort 3ダウンロードページからSnort 3コミュニティルールをダウンロード
ルールを抽出し、構成フォルダーにコピー

構成フォルダーの中を確認する

5. メイン設定ファイル編集

OpenAppID　インストール
Snort 3のダウンロードページからSnort OpenAppIDをダウンロードしインストール
バージョンについては最新のものに変更してください

snort 3設定ファイルを編集し、OpenAppIDライブラリの場所を定義

Snorts ログディレクトリー作成

設定ファイルのチェック

チェックの結果次のように表示されればOK

6. カスタムローカルルールを作成

7. 設定の検証

パラメーター -T を使用して構成をテストし、テスト・モードを使用可能にします

次に、以下のコマンドを実行してテストを実行する

同じローカルネットワーク内の別のPCから本サーバーにpingを実行すると、下記のように本サーバーコンソール画面ににアラート行が書き出される

ログファイルに書き込む設定

構文チェックを実行

今度は、-A alert_fastというオプションはつけずに、-l /var/log/snortというログ・ディレクトリを指定するオプションをつけ実行する

l別のPCからpingを実行するとlogsディレクトリをチェックすると、alert_fast.txtファイルが作成されている

snort.luaにローカルルールを含める

8. Snort用のユーザー作成

Snort用の非ログイン システム ユーザー アカウントを作成

9. Snort用のsystemdサービスユニットを作成

systemdの設定をリロードする

ログファイルの所有権とパーミッションを設定

システム起動時にSnortを起動し、実行できるようにする

ステータスチェック