Snort installieren und erste Schritte durchführen

von

Stefan
in

Nachdem wir im ersten Teil die Grundlagen und Einsatzmöglichkeiten von Snort kennengelernt haben, widmen wir uns nun der Installation und Grundkonfiguration. Dieser Teil richtet sich an Administratoren und Sicherheitsexperten, die Snort in einer Test- oder Produktionsumgebung einsetzen möchten.

Systemvoraussetzungen

Snort ist plattformunabhängig und unterstützt:

  • Linux-Distributionen wie Ubuntu, Debian, CentOS und RHEL
  • Windows für Testumgebungen (nicht für den produktiven Einsatz empfohlen)
  • FreeBSD und weitere Unix-Derivate

Empfohlene Mindestanforderungen für kleine Umgebungen:

  • 2 CPU-Kerne
  • 4 GB RAM
  • 20 GB Speicherplatz

Für große Netzwerke empfiehlt sich eine leistungsfähige Hardware oder virtuelle Appliances mit Skalierungsmöglichkeiten.

Installation unter Linux

Beispiel für Ubuntu/Debian:

sudo apt update
sudo apt install snort

Während der Installation wird die Netzwerkschnittstelle abgefragt, die Snort überwachen soll.

Installationsquellen

  • Paketmanager: Einfache Installation über apt oder yum
  • Quellcode: Flexibilität bei Anpassungen, z. B. für spezielle Module oder Optimierungen
  • Docker-Container: Schnelle Bereitstellung in Testumgebungen

Grundlegende Konfiguration

Die zentrale Konfigurationsdatei befindet sich in der Regel unter:

/etc/snort/snort.conf

Wichtige Einstellungen:

  • Netzwerkvariablen: ipvar HOME_NET 192.168.1.0/24 ipvar EXTERNAL_NET any
  • Rule-Pfade: Definition, wo sich die Regeldateien befinden
  • Preprozessoren: Aktivierung spezieller Module für Protokollanalyse oder Anomalieerkennung

Betriebsmodi von Snort

Snort kann in drei Modi betrieben werden:

  1. Sniffer-Modus: snort -i eth0 Zeigt Netzwerkpakete in Echtzeit an.
  2. Packet-Logger-Modus: snort -i eth0 -l /var/log/snort Speichert Pakete zur späteren Analyse.
  3. NIDS-/IPS-Modus: snort -c /etc/snort/snort.conf -i eth0 -A console Führt Regelwerke aus und meldet verdächtige Aktivitäten.

Erste Tests

Nach der Installation kann Snort mit Beispielregeln getestet werden:

alert icmp any any -> any any (msg:"ICMP-Test"; sid:1000001; rev:1;)

Dieser einfache Test meldet alle ICMP-Pakete (z. B. Ping).

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert