Как установить Snort 3 в Debian

Snort - популярный выбор для запуска систем обнаружения сетевых вторжений или сокращенно NIDS. Она отслеживает пакетные данные, отправленные и полученные через определенный сетевой интерфейс. NIDS может отлавливать угрозы, направленные на уязвимые места вашей системы, используя технологии обнаружения на основе сигнатур и анализа протоколов. Программное обеспечение NIDS, если оно установлено и настроено должным образом, может выявлять новейшие атаки, заражения вредоносным ПО, взломанные системы и нарушения сетевой политики. В этом руководстве вы найдёте инструкции по установке Snort в Debian 11.

snort

Snort - одна из наиболее часто используемых сетевых IDS. Он легкий, с открытым исходным кодом, доступен на множестве платформ и может быть удобно установлен даже на самых маленьких экземплярах облачных серверов. Хотя Snort способен на гораздо большее, чем просто мониторинг сети, в этом руководстве показано, как настроить и запустить Snort в режиме NIDS с базовой настройкой, которую впоследствии можно расширить по мере необходимости.

Подготовка вашего сервера

Установка базовой конфигурации Snort на Debian довольно проста, но требует нескольких шагов. Сначала вам нужно установить всё необходимое программное обеспечение, чтобы подготовить ваш облачный сервер к установке самого Snort. Установите необходимые библиотеки с помощью следующей команды.

Когда все предварительные условия выполнены, переходим к установке Snort в Debian 11. Snort можно загрузить и установить вручную из исходного кода. Ниже вы найдете инструкции, как это сделать.

Установка Snort из исходного кода

Установка Snort на Debian из исходного кода состоит из нескольких шагов: загрузка кода, его настройка, компиляция кода, установка в соответствующий каталог и, наконец, настройка правил обнаружения.

Начните с создания временной папки загрузки в вашем домашнем каталоге, а затем перейдите в неё с помощью команды ниже.

Сам Snort использует нечто под названием Data Acquisition library (DAQ) для осуществления абстрактных вызовов библиотек захвата пакетов. Загрузите последнюю версию исходного пакета DAQ с сайта Snort с помощью команды wget, либо с нашего зеркала:

Замените номер версии в команде, если доступна более новый версия.

Загрузка займет всего несколько секунд. После завершения извлеките исходный код и перейдите в новый каталог с помощью следующих команд.

Последняя версия требует дополнительного шага для автоматической реконфигурации DAQ перед запуском конфигурации. Используйте приведенную ниже команду, которая требует, чтобы у вас были установлены autoconf и libtool.

После этого запустите сценарий конфигурации, используя его значения по умолчанию, затем скомпилируйте программу с помощью make и, наконец, установите DAQ.

После установки DAQ вы можете приступить к работе с Snort, для этого вернитесь в папку загрузки.

Затем загрузите исходный код Snort с помощью wget. Номер последней версии вы можете найти на странице загрузки Snort. При необходимости замените его в следующей команде.

После завершения загрузки извлеките исходный код и измените его в новом каталоге с помощью следующих команд.

Затем настройте установку запустите make и make install.

После этого продолжите ниже о том, как настроить конфигурационные файлы.

Настройка Snort для работы в режиме NIDS

Далее вам нужно будет настроить Snort для вашей системы. Это включает в себя редактирование некоторых конфигурационных файлов, загрузку правил, которым будет следовать Snort, и пробный запуск Snort.

Начните с обновления общих библиотек с помощью следующей команды.

Настройка сетевого интерфейса

Замените ens36 на имя вашего сетевого интерфейса

Вам нужно будет установить сетевой интерфейс в неразборчивом режиме, чтобы он мог видеть весь отправляемый на него сетевой трафик.

Вы можете установить его с помощью следующей команды:

Теперь вы можете проверить это с помощью следующей команды:

Далее вам также необходимо отключить разгрузку интерфейса. Сначала проверьте, включена ли эта функция, используя следующую команду:

Теперь вы можете отключить его с помощью следующей команды:

Создайте служебный файл Systemd для сетевой карты Snort

Далее вам нужно будет создать служебный файл systemd для сетевой карты Snort.

Добавьте следующие строки:

Замените ens36 - на имя используемого сетевого интерфейса

Сохраните и закройте файл, затем перезагрузите демон systemd, чтобы применить изменения:

Затем запустите и включите Snort с помощью следующей команды:

Вы можете проверить состояние Snort с помощью следующей команды:

Установить правила Snort

Правила очень важны для механизма обнаружения вторжений Snorts. Сначала создайте каталог для хранения всех правил:

Затем скопируйте файлы конфигурации из папки загрузки.

Загрузите правила сообщества с помощью следующей команды:

или

Затем отредактируйте основной файл конфигурации Snort:

Определите свою сеть, как показано ниже:

Затем укажите путь к правилам Snort:

Сохраните и закройте файл, когда закончите.

Служебный файл Systemd для Snort

Создайте файл systemd для управления Snort через systemd.

Добавьте следующие конфигурации:

Сохраните и закройте файл, затем перезагрузите демон systemd с помощью следующей команды:

Затем запустите и включите службу Snort с помощью следующей команды:

Теперь вы можете проверить состояние Snort, используя следующую команду:

systemctl status snort3

Заключение

Поздравляем, теперь вы успешно настроили и протестировали сетевую систему обнаружения вторжений. Однако это руководство охватывает только самые основы, введение в Snort и NIDS в целом.

Понравилась статья? Поделиться с друзьями:
Комментарии: 2
  1. Avatar for евгений
    евгений

    ─$ systemctl status snort3
    × snort3.service - Snort Daemon
    Loaded: loaded (/etc/systemd/system/snort3.service; enabled; preset: disabled)
    Active: failed (Result: exit-code) since Thu 2023-06-08 20:25:25 +05; 22min ago
    Duration: 33ms
    Main PID: 22239 (code=exited, status=1/FAILURE)
    CPU: 33ms

    июн 08 20:25:25 kali snort[22239]: FATAL: see prior 1 errors (0 warnings)
    июн 08 20:25:25 kali snort[22239]: Fatal Error, Quitting..
    июн 08 20:25:25 kali snort[22239]: --------------------------------------------------
    июн 08 20:25:25 kali snort[22239]: o")~ Snort++ 3.1.57.0
    июн 08 20:25:25 kali snort[22239]: --------------------------------------------------
    июн 08 20:25:25 kali snort[22239]: Loading /usr/local/etc/snort/snort.lua:
    июн 08 20:25:25 kali snort[22239]: --------------------------------------------------
    июн 08 20:25:25 kali snort[22239]: pcap DAQ configured to passive.
    июн 08 20:25:25 kali systemd[1]: snort3.service: Main process exited, code=exited, status=1/FAILURE
    июн 08 20:25:25 kali systemd[1]: snort3.service: Failed with result 'exit-code'.

    1. Avatar for Gnostis
      Gnostis (автор)

      Либо пропустили какие-то шаги.
      Но скорее всего, необходимо изменить имя сетевой карты в настройках сервиса с ens36 на вашу.

      так же, можно заглянуть в диагностику
      journalctl -feu snort3

Добавить комментарий