「エアコンの安全な修理・適切なフロン回収」はこちら

OracleLinux9.3 ; SURICATA , SNORT3インストール

 Suricata

SURICATA IDS/IPSはネットワーク上の通信を監視し、不審なトラフィックを検知するオープンソースのIDSです。基本的な仕組みはシグネチャ型であるため、あらかじめ設定した不正な通信を検知できます。また、Suricataは検知だけでなく防御も行えることが特徴です。

1.事前準備

①EPEL リポジトリをシステム上で有効化する

②システムのアップデート

2.Suricata のインストールと設定

①Suricata のインストール

②Suricataがネットワークパケットを検査するインターフェースとIPアドレスを決定

③設定ファイルを編集

④Suricataのルール更新

⑤Suricataの起動

⑥Suricataの起動確認

ログを確認

統計情報を確認するには、stats.log ファイルを確認します(デフォルトで8秒ごとに更新)

より高度な出力であるEVE JSONは、以下のコマンドで生成することができる

3.Suricata のテスト

①curl ユーティリティで ping テストを実行

②ログに記録されたかどうかを調べるため、アラートログを確認

4.Suricata Rulesの設定

①Suricataにパッケージされているルールセットの表示

②ルールセットを提供するソースのインデックス一覧

③ソースを有効にする(et/openを有効にする場合)

アップデートを実行

Suricata service再起動

5.Suricata Custom Rulesの作成

①カスタマールールを含むファイルを作成

②設定ファイルを編集(新しいルールのパスを定義)

 ③設定ファイルのテスト

Suricat service再起動

④Custom Rulesの適用テスト
同一ローカルネットワーク上の別のデバイスでpingを実行し、ログに記録されたかどうかを確認する

JSON形式のログを取得するには、システムにjqをインストールする

下記コマンドを実行し、同一ローカルネットワーク上の別のデバイスでpingを実行する

SNORT3

 Snortは、IPネットワーク上でリアルタイムのトラフィック分析とパケットロギングを実行できるオープンソースのネットワーク侵入検知システムです。

「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、「バッファオーバーフロー」「ステルスポートスキャン」「CGI攻撃」「SMBプローブ」「OSフィンガープリント試行」「セマンティックURL攻撃」「サーバメッセージブロック探査」など、さまざまな攻撃検出に使用できます。

1.事前準備

1.1 必須パッケージのインストール

1.openssl-develのインストール

 2.codereadyリポジトリの有効化

リポジトリを確認

3.cmakeのインストール

1.2 必要なパッケージのインストール
1.3 LibDAQのインストール
1.4 オプションパッケージのインストール

1.LZMAとUUIDのインストール

2.Hyperscanのインストール

3.Safecのインストール

4.Tcmallocのインストール

2. Snort3のインストール

configureの実行

ビルド、コンパイル、インストール

バージョン確認

テスト実行

ネットワークインターフェースの設定

ネットワーク インタフェースを確認

ネットワーク・インターフェース名はens160である

ネットワークインターフェイスをプロミスキャスモードに設定する。こうすることで、ネットワークデバイスはすべてのネットワークパケットをキャプチャし、検査できるようになる。

設定を確認

ネットワーク・インタフェースのオフロード・ステータスを確認。インタフェースのネッ トワーク・トラフィックを監視する必要がある場合は、オフロードを無効にする必要がある

LROとGROのオフロードステータスをオフ状態に設定する

Snortネットワークインターフェース用のsystemdサービスを作成する

systemd デーモンが変更を適用する

Snort NICサービスのステータスを確認

Snortコミュニティ・ルールセットを追加

1.Snortルール用のフォルダを作成し、SnortのWebサイトからコミュニティルールセットをダウンロードし、所定のルールディレクトリーに配置

2.Snortメイン設定ファイルを編集

3.Snortのメインコンフィグレーションの変更をテスト

カスタムルールの追加

1.Snort rulesディレクトリにファイルを作成する

2.Snortメイン設定ファイルを編集
カスタム ルール ファイル ディレクトリをメイン構成に含めるためSnortメイン設定ファイルを編集

3.Snortのメインコンフィグレーションの変更をテスト

OpenAppIDエクステンションをインストール

OpenAppIDエクステンションをインストールすると、Snortはアプリケーションレイヤーレベルでネットワーク脅威を検出できるようになります

1.OpenAppIDエクステンションダウンロードと展開

2.解凍したフォルダ(odp)を以下のディレクトリにコピー

3.Snortメイン設定ファイルを編集し、OpenAppIDフォルダの場所を定義

4.Snortのメインコンフィグレーションの変更をテスト

すべてのコンフィギュレーションが正しくセットアップされていることを確認する

リモートコンピュータからサーバのIPアドレスにpingコマンドを送信します。これにより、ホストサーバーのコンソールウィンドウにアラートログが表示されます

Snort systemdサービスの設定

1.Snortサービス用のユーザの作成

2.ログフォルダの作成とパーミッションの設定
Snortログ用のディレクトリフォルダを作成し、フォルダパーミッションを設定

3.Systemdサービスファイルの作成

Snortサービスをリロードして有効にする

Snortサービスを開始

ステータスを確認

Snort IDS ロギング

1.Snort JSONロギングの設定

2.Snortを再起動

3.ログファイルを確認
リモートコンピュータからサーバにpingコマンドを実行する。Snort alert_json.txtファイルに保存されます。

以上でSnort 3のインストールと設定が完了

タイトルとURLをコピーしました