So installieren Sie Snort auf einem Ubuntu 18.04 VPS oder einem dedizierten Server

Einführung

Bei Intrusion-Detection-Systemen handelt es sich um Software, die dazu dient, den Netzwerkverkehr auf verdächtige Aktivitäten zu überwachen und bei Entdeckung Warnungen zu senden oder Maßnahmen zu ergreifen.

Angesichts der zunehmenden Komplexität von Angriffen reicht es nicht aus, Firewalls und Netzwerkperimetersicherheit zu haben, da wir die Bedrohungen erkennen müssen, bevor sie erhebliche Auswirkungen haben.

Einige der Intrusion-Detection-Systeme wie das IDS von Cisco sind für manche Unternehmen leider zu teuer in der Anschaffung.

Glücklicherweise kam Snort zu Hilfe, da es wohl eines der besten Open-Source-Intrusion-Detection-Systeme auf dem Markt ist und auf fast allen Linux-, Unix- und Mac OS-Plattformen läuft.

Zu den von Snort angebotenen Funktionen gehören:

  • System zur Erkennung von Netzwerkeinbrüchen
  • Paketschnüffler
  • Paketlogger

Voraussetzungen

  • Ein VPS / dedizierter Server mit Ubuntu 18.04
  • Ein Nicht-Root-Benutzer mit Sudo-Berechtigungen

Schritte

Systempakete aktualisieren

$ sudo apt update && sudo apt upgrade

Wir werden eine Reihe von Quelldateien installieren, daher sollten Sie einen Ordner erstellen, in dem diese Pakete gespeichert werden.

$ mkdir snort_src && cd snort_src

Installieren Sie Snort-Abhängigkeiten

Installieren Sie die Snort-Voraussetzungen im erstellten Ordner

$ sudo sudo apt install -y build-essential autotools-dev libdumbnet-dev libluajit-5.1-dev libpcap-dev 
> libpcre3-dev zlib1g-dev pkg-config libhwloc-dev

Installieren Sie die cmake-Bibliothek

$ sudo apt install -y cmake

Anschließend möchten wir einige optionale, aber dringend empfohlene Bibliotheken installieren.

$ sudo apt install -y liblzma-dev openssl libssl-dev cpputest libsqlite3-dev uuid-dev

Da Snort von Github installiert wird, möchten wir unbedingt die erforderlichen Tools erhalten, um damit zu arbeiten.

$ apt install -y libtool git autoconf

Die Abhängigkeiten der Datenerfassungsbibliothek von Snort müssen installiert sein:

$ sudo apt install -y bison flex

Installieren Sie die Safe C-Bibliothek für Pufferüberlauf-Verhinderungsprüfungen zur Laufzeit (verursacht durch ältere C-Bibliotheksaufrufe).

$ wget  >https://downloads.sourceforge.net/project/safeclib/libsafec-10052013.tar.gz
$ tar -xzvf libsafec-10052013.tar.gz
$ cd libsafec-10052013
$ ./configure
$ machen
$ sudo make install

Zur Leistungsoptimierung bei hoher Speichernutzung werden wir die Google Performance Tools (gfpertools) installieren:

$ cd ~/snort_src/
$ wget  >https://github.com/gperftools/gperftools/releases/download/gperftools-2.7/gperftools-2.7.tar.gz
$ tar xzvf gperftools-2.7.tar.gz
$ cd gperftools-2.7
$ ./configure
$ machen
$ sudo make install

Für einen schnelleren Musterabgleich installieren wir Ragel und Boost, Abhängigkeiten von Hyperscan, die uns beim schnelleren Abgleich mehrerer regulärer Ausdrücke während Scans unterstützen.

Laden Sie die Ragel-Bibliothek herunter und installieren Sie sie:

$ cd ~/snort_src/
$ wget http://www.colm.net/files/ragel/ragel-6.10.tar.gz
$ tar -xzvf ragel-6.10.tar.gz
$ cd ragel-6.10
$ ./configure
$ machen
$ sudo make install

Laden Sie die Boost C++-Bibliotheken herunter, installieren Sie sie jedoch nicht.

$ cd ~/snort_src/
$ wget https://dl.bintray.com/boostorg/release/1.67.0/source/boost_1_67_0.tar.gz
$ tar -xvzf boost_1_67_0.tar.gz

Laden Sie Hyper Scan herunter und installieren Sie es, während Sie auf den Speicherort der Boost-Header-Quelle verweisen:

Plain text
Copy to clipboard
Open code in new window
EnlighterJS 3 Syntax Highlighter
$ ~/snort_src/
$ wget https://github.com/intel/hyperscan/archive/v4.7.0.tar.gz
$ tar -xvzf v4. 7 . 0 . Teer . gz
$ mkdir ~/snort_src/hyperscan- 4.7 . 0 -bauen
$ cd hyperscan- 4.7 . 0 -bauen/
$ cmake -DCMAKE_INSTALL_PREFIX=/usr/local > -DBOOST_ROOT=~/snort_src/boost_1_67_0/ ../hyperscan- 4.7 . 0
$ machen
$ sudo make install
$ ~/snort_src/
$ wget https://github.com/intel/hyperscan/archive/v4.7.0.tar.gz
$ tar -xvzf v4.7.0.tar.gz
$ mkdir ~/snort_src/hyperscan-4.7.0-build
$ cd hyperscan-4.7.0-build/
$ cmake -DCMAKE_INSTALL_PREFIX=/usr/local >-DBOOST_ROOT=~/snort_src/boost_1_67_0/ ../hyperscan-4.7.0
$ make
$ sudo make install
$ ~/snort_src/
$ wget https://github.com/intel/hyperscan/archive/v4.7.0.tar.gz
$ tar -xvzf v4.7.0.tar.gz 
$ mkdir ~/snort_src/hyperscan-4.7.0-build 
$ cd hyperscan-4.7.0-build/
$ cmake -DCMAKE_INSTALL_PREFIX=/usr/local  >-DBOOST_ROOT=~/snort_src/boost_1_67_0/ ../hyperscan-4.7.0
$ make 
$ sudo make install

So testen Sie, ob der Hyperscan funktioniert:

$ cd ~/snort_src/hyperscan-4.7.0-build/
$ ./bin/unit-hyperscan

Anschließend müssen wir eine Speicherserialisierungsbibliothek namens „Flatbuffers“ installieren, die effizienter ist:

$ cd ~/snort_src
$ wget https://github.com/google/flatbuffers/archive/v1.9.0.tar.gz -O flatbuffers-v1.9.0.tar.gz
$ tar -xzvf flatbuffers-1.9.0.tar.gz
$ mkdir flatbuffers-build && cd flatbuffers-build
$ cmake ../flatbuffers-1.9.0
$ machen
$ sudo make install

Installieren Sie Snort

Zuerst müssen wir die Data Acquisition Library (DAQ) von der Website von snort installieren:

$ cd ~/snort_src
$ wget https://www.snort.org/downloads/snortplus/daq-2.2.2.tar.gz
$ tar -xzvf daq-2.2.2.tar.gz
$ cd daq-2.2.2
$ ./configure
$ machen
$ sudo make install

Aktualisieren Sie die gemeinsam genutzten Bibliotheken

$ sudo ldconfig

Laden Sie abschließend den Snort-Quellcode herunter und installieren Sie ihn:

$ cd ~/snort_src
$ git clone git://github.com/snortadmin/snort3.git
$ cd snort3
$ ./configure_cmake.sh --prefix=/usr/local --enable-tcmalloc
$ cd bauen
$ machen
$ sudo make install

Sie können überprüfen, ob Snort installiert wurde:

$ /usr/local/bin/snort -V

image1 777x269 1

Abschluss

Wenn Sie die gleiche Ausgabe wie oben erhalten, bedeutet dies, dass Sie snort erfolgreich auf Ihrem VPS/dedizierten Host installiert haben. Der nächste Schritt wäre die dauerhafte Konfiguration der globalen Variablen, die zum Ausführen von Snort erforderlich sind.

Schauen Sie sich diese Top 3 der Linux-Hosting-Dienste an

HostArmada
5,0

716 Benutzerbewertungen

2,49 $ /Monat
Startpreis

Besuchen Sie HostArmada

Bewertung basierend auf Expertenbewertung
  • Benutzerfreundlich
    4.5
  • Unterstützung
    4.5
  • Merkmale
    4.5
  • Zuverlässigkeit
    4.5
  • Preisgestaltung
    4,0
Hostinger
4.6

2.435 Nutzerbewertungen

2,99 $ /Monat
Startpreis

Besuchen Sie Hostinger

Bewertung basierend auf Expertenbewertung
  • Benutzerfreundlich
    4.7
  • Unterstützung
    4.7
  • Merkmale
    4.8
  • Zuverlässigkeit
    4.8
  • Preisgestaltung
    4.7
FastComet
4.8

1.588 Nutzerbewertungen

1,79 $ /Monat
Startpreis

Besuchen Sie FastComet

Bewertung basierend auf Expertenbewertung
  • Benutzerfreundlich
    4.7
  • Unterstützung
    5,0
  • Merkmale
    4.8
  • Zuverlässigkeit
    4.5
  • Preisgestaltung
    5,0
  • Benötigen Sie den besten VPS ? Informieren Sie sich über unsere verschiedenen Angebote.