Ubuntu Server24.04 : SNORT3 インストール

Snort3

1.必要なパッケージをインストール

2. DAQライブラリをインストール

DAQライブラリをダウンロードしてインストール

3. Gperftoolsをインストール

複数のインスタンスにおけるメモリ処理を改善することで、特定のアプリケーションやサービスのパフォーマンスを向上させるために使用されるプロファイラツール

4. SNORT3のインストール

①SNORT3のダウンロードと展開

➁コンフィグレーション

上記でERROR! Libpcre2 library not found.と表示される場合はlibpcre2-devパッケージをインストールする

➂インストール

④共有ライブラリを更新

⑤バージョンを確認

⑥デフォルト設定をテスト

正常であれば下記のように表示される

5. ネットワークインタフェースを特定し、設定

①ネットワーク・イ ンターフェースを確認

ネットワーク・イ ンターフェース名はens33

➁ネットワークインターフェースをプロミスキャスモードに設定

設定を確認

➂ラージ・レシーブ・オフロード（LRO）とジェネリック・レシーブ・オフロード（GRO）をオフ状態に設定

現在の状態を確認

LROとGROのオフロードステータスをオフ状態に設定

6. ネットワークインターフェース用のsystemdサービスを作成

snort3-nic.serviceの内容

systemd デーモンをリロードし、変更を適用

snort3-nic.serviceを起動し、有効にします

snort3-nic.serviceのステータスを確認

7. Snort Rulesの追加

7.1 コミュニティ・ルールセットを追加

①Snortルール用のフォルダを作成し、SnortのWebサイトからコミュニティルールセットをダウンロード

➁ Snortメイン設定ファイルを編集

➂ メイン構成の変更をテスト

7.2 カスタムルールを追加

①Snort rulesディレクトリにファイルを作成

➁Snortメイン構成を編集

➂ メイン構成の変更をテスト

8. OpenAppIDインストール

OpenAppIDエクステンションをインストールすると、Snortはアプリケーションレイヤーレベルでネットワーク脅威を検出できるようになります

①OpenAppIDをダウンロードし、展開

➁解凍したフォルダ（odp）を以下のディレクトリにコピー

➂メイン設定ファイルを編集し、OpenAppIDフォルダの場所を定義

④ メイン構成の変更をテスト

9. Snort用のsystemdサービスを作成

9.1 すべてのセットアップの確認

local.rulesを使ってネットワークインターフェース上でSnortを実行

同一ネットワークの別のPCからUbuntuサーバのIPアドレスにpingコマンドを送信
ホストサーバーのコンソールウィンドウに次のようなアラートログが表示されます

9.2 Snort用のsystemdサービスを作成

①Snortサービス用のユーザ（snort）を作成

➁ログフォルダの作成と権限の設定

➂SNORT systemdサービスファイルを作成

snort3.serviceの内容

④Snortサービスをリロードして有効

⑤Snortサービスを起動し、ステータスを確認

10. Snort JSONロギング設定

①Snort設定ファイルを編集

➁Snortを再起動

➂設定の確認
同一ネットワーク上の別のPCからUbuntuホストサーバにpingコマンドを実行
ログが記録され、Snort alert_json.txtファイルに保存されます。ログファイルを確認

11.ルールファイルの自動更新

Snort が不正アクセスの判断をするために参照するルールファイルを自動で最新化するoinkmaster をインストールする

11.1 Oinkmasterインストール

下記ファイル、ディレクトリーを削除

11.2 Oink Codeの取得

Snortルールファイル(Sourcefire VRT Certified Rules)をダウンロードするには「Oink Code」が必要なので、「Oink Code」を取得する。
まず、SNORT公式ページにアクセスしユーザー登録を行い、登録したアカウント、パスワードでSign in後"Oinkcode"を表示し、コピーする。

11.3 Oinkmaster設定
Oinkmaster設定ファイルを編集
取得したOinkcodeを貼り付ける

11.4 ダウンロードする(Oinkmaster実行)

下記のように表示される

11.5 Oinkmaster定期自動実行設定

Oinkmaster定期自動実行スクリプト作成

スクリプトに実行権限