Ubuntu22.04 & 23.04 Server : SNORT3インストール

Snort3 インストール

Ubuntu22.04,23.04はデフォルトのユニバースリポジトリは下記の通りsnort2.9となっていますので、ソースコードからSnort3をビルド、コンパイルしてインストールします

事前準備

①Ubuntuサーバーが最新で、最新のパッケージ・リストがあることを確認する

①ビルドとインストールに必要なビルドツールと依存関係のあるライブラリーをインストール。

②SNORT3のインストール作業ディレクトリー作成

③DAQのダウンロード、インストール

④メモリ使用量の増加時の速度が向上のためgperftoolsインストール

Snort3 ダウンロード、インストール

①Snort3をダウンロードしてインストール

②共有ライブラリを更新

④Snortが正しく実行されることを確認

⑤デフォルトの設定ファイルでSnortのインストールをテストする

Snort3を構成する

①Snortがリッスンするインターフェースの名前を確認

Snortを実行するWANインターフェイスfはenp0s3である

➁ネットワークインターフェイスカードを構成

Snortが1518バイトを超える大きなパケットを切り捨てないよう、インターフェイスオフロードを無効にする
現状の確認

GROがonになっているのてこれを無効にする

システムの再起動後も変更が反映するように、systemdサービスを作成して有効にする

snort3-promisc.serviceの内容

設定をリロードし、起動時にサービスを開始、有効にする

ルールセットを構成

今回はコミュニティールールとローカルルールセットします
①Snortのルールに必要なフォルダとファイルを作成

ローカルルールを作成

①ICMPトラフィックを検出するルールを追加するため、local.rulesファ イルに記述

➁テスト実行

正常であれば出力は次の行で終わる

➂インターフェイス（enp0s3をインターフェイス名に置き換えてください）の検出モードで Snortを実行し、次のコマンドを入力してすべてのアラームをコンソールにログ記録します：

同じネットワーク内の別のPCからサーバーにpingすると、コンソール画面に以下のように表示される

Ctrl-CでSnortを停止する

④ローカルルールをsnort.luaに含めるため、snort.luaファイルを編集

⑤Snortを実行する

同じネットワーク内の別のPCからサーバーにpingすると、アラームがコンソールに書き換わる

コミュニティルールを作成

①Snort3コミュニティルールをダウンロードしてルールディレクトリに保存

➁構成ファイルを編集

➂ルールへのパスを更新

SnortOpenAppIDのインストール

①OpenAppID検出器パッケージをダウンロード

➁Snort設定ファイルを編集

➂構成のチェック

④Snortのlocal.rulesファイルに次の行を追加して、Facebookトラフィックを検出する新しいルールを追加する：

⑤local.rulesファイルの構文をチェック

⑥Snortを実行

新たに別にコンソール画面を開きFacebookに接続すると元のコンソール画面に下記のような表示が出る

Snortログの設定

①snort.lua設定ファイル編集

➁構文をチェック

➂オプション-A alert_fastなし、オプション-l /var/log/snortでログディレクトリを指定してSnortを実行

/var/log/snort/alert_fast.txtファイルに以下のアラートが表示される

バックグラウンドでSnortを実行

①Snortの非ログインシステムユーザーアカウントを作成

②systemdサービスユニットを作成

snort3.serviceの内容

再起動

ログファイルの所有権と権限を設定

③Snortを起動し、システム起動時に実行できるようにする