Rocky Linux8.6 : SNORT3+SnortSnarf インストール

Snort3 + SnortSnarfインストール

不正アクセス検知システムにネットワーク型IDSのSnortを導入する。
また、Snortが抽出した不正アクセスログをWebブラウザ上で確認できるようにするためにSnortSnarfも導入する。
RockyLinux8はSnortリポジトリがありませんので、ソースコードからSnort3をビルド、コンパイルしてインストールします

事前準備

①ビルドとインストールに必要なビルドツールと依存関係のあるライブラリーをインストール。

EPELをインストールし、Powertoolsリポジトリを有効にします。

②SNORT3のインストール作業ディレクトリー作成

③DAQのダウンロード、インストール

④メモリ使用量の増加時の速度が向上のためgperftoolsインストール

Snort3 ダウンロード、インストール

①Snort3をダウンロードしてインストール

②共有ライブラリを更新

Snort3を構成する

①ネットワークインターフェイスカードを構成

Snortが1518バイトを超える大きなパケットを切り捨てないよう、インターフェイスオフロードを無効にする
現状の確認

GRO,LROがonになっているのてこれを無効にする

システムの再起動後も変更が反映するように、systemdサービスを作成して有効にする

snort3-promisc.serviceの内容

②ルールセットを構成
今回はコミュニティールールをセットします

ルールディレクトリを作成

③Snort3コミュニティルールをダウンロードしてルールディレクトリに保存

④構成ファイルを編集

⑤ルールへのパスを更新

⑥SnortOpenAppIDのインストール(バージョンは最新のものに書き換えてください)

⑦ログディレクトリー作成

⑧構成のチェック

⑨ローカルルールを作成

テスト実行

同じネットワーク内の別のPCからサーバーにpingすると、コンソール画面に以下のように表示される

⑩アラートをログに書き込む

ログディレクトリーにalert_fast.txt ファイルが作成される

構成をチェック

再度、同じネットワーク内の別のPCからサーバーにpingすると今度はコンソール画面には何も表示されないが
ログディレクトリを確認すると、 alert_fast.txt ファイルが作成されました
alert_fast.txt ファイルを確認するには

⑪ローカルルールをsnort.luaに含める

バックグラウンドでSnortを実行

①Snortの非ログインシステムユーザーアカウントを作成

②systemdサービスユニットを作成

snort3.serviceの内容

再起動

ログファイルの所有権と権限を設定

③Snortを起動し、システム起動時に実行できるようにする

ログローテーション設定ファイルを配置

①設定ファイル作成

➁テスト # -fオプションで強制実行する

ログファイル確認

Snortsnarf インストール

①事前準備
PerlのTime-modulesをインストール

Cpanインストール

➁Snortsnarfダウンロード、インストール

➂設定ファイル等編集

④解析結果出力ディレクトリ作成

⑤解析結果へのアクセス制御

⑥実行と確認

ブラウザにて、http://[server IP]/snortsnarf/にアクセスすると下記の画面になればOK