Willkommen zur Snort3-Dokumentation für Kali Linux

Willkommen zur umfassenden Snort3-Dokumentation für Kali Linux. Diese Anleitung führt Sie durch die komplette Installation und Konfiguration von Snort3 auf Kali Linux.

Was ist Snort3?

Snort3 ist die nächste Generation des populären Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS). Es bietet erweiterte Funktionalitäten und bessere Performance.

Systemvoraussetzungen

  • Kali Linux 2023.x oder neuer
  • Mindestens 2GB RAM (4GB empfohlen)
  • Netzwerkadapter mit Promiscuous Mode Support
  • Root-Berechtigung für Installation

Installation

APT-Installation (empfohlen)

sudo apt update && sudo apt install snort -y

Source-Build Installation

Für die neueste Version oder erweiterte Funktionen:

# Abhängigkeiten installieren
sudo apt update
sudo apt install build-essential cmake libpcap-dev libdumbnet-dev \
    zlib1g-dev libssl-dev libnghttp2-dev libdnet-dev \
    libhwloc-dev pkg-config

# Snort3 herunterladen und kompilieren
cd /tmp
wget https://github.com/snort3/snort3/archive/refs/heads/master.zip
unzip master.zip
cd snort3-master
./configure_cmake.sh --prefix=/usr/local
cd build
make -j$(nproc)
sudo make install

Wichtiger Hinweis

Bei Source-Build können Abhängigkeitsprobleme auftreten. Stellen Sie sicher, dass alle erforderlichen Bibliotheken installiert sind.

Regeln einpflegen

Community-Rules herunterladen

cd /tmp
wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
tar -xzf snort3-community-rules.tar.gz
sudo cp -r snort3-community-rules/* /usr/local/etc/snort/

Regeln in Konfiguration einbinden

-- In /usr/local/etc/snort/snort.lua
include 'snort3-community.rules'

Heimkonfiguration

Netzwerk-Variablen definieren

-- Heimnetzwerk definieren
HOME_NET = '192.168.0.0/24'
EXTERNAL_NET = 'any'

-- Logging-Konfiguration
alert_json = {
    file = true,
    timestamp = true,
    proto = true,
    src_ap = true,
    dst_ap = true,
}

Funktionstest

Test-Regel erstellen

# Test-Regel in /usr/local/etc/snort/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:"ICMP Test Alert"; sid:1000001; rev:1;)

Snort3 starten

sudo snort -c /usr/local/etc/snort/snort.lua -i eth0

Logs überprüfen

tail -f /var/log/snort/alert_json.txt

Troubleshooting

Häufige Probleme

libdnet-dev Fehler

Lösung: libdumbnet-dev verwenden

sudo apt install libdumbnet-dev

Autoreconf nicht gefunden

sudo apt install autoconf automake libtool

Netzwerkadapter nicht erkannt

# Verfügbare Interfaces anzeigen
ip link show

# Interface in Promiscuous Mode setzen
sudo ip link set eth0 promisc on

Snort3-Installation auf Ubuntu

Snort3-Installation auf Ubuntu 22.04 LTS bis 24.04. Diese Anleitung führt Sie durch die komplette Installation und Konfiguration von Snort3 auf Ubuntu-Systemen.

Ubuntu-spezifische Vorteile

Ubuntu bietet stabilen LTS-Support und einfache Paketmanagement-Integration für Snort3.

Systemvoraussetzungen

  • Ubuntu 22.04 LTS oder neuer
  • build-essential Paket
  • cmake (Version 3.16 oder neuer)
  • Mindestens 2GB RAM
  • Netzwerkadapter mit Monitor-Mode

Installation

Vorbereitung

sudo apt update
sudo apt install build-essential cmake libpcap-dev libdumbnet-dev \
    zlib1g-dev libssl-dev libnghttp2-dev

Source-Build (empfohlen für Ubuntu)

# Snort3 herunterladen
cd /tmp
wget https://github.com/snort3/snort3/releases/download/3.1.74.0/snort3-3.1.74.0.tar.gz
tar -xzf snort3-3.1.74.0.tar.gz
cd snort3-3.1.74.0

# Kompilieren und installieren
./configure_cmake.sh --prefix=/usr/local
cd build
make -j$(nproc)
sudo make install

Systemd-Service einrichten

# Service-Datei erstellen
sudo nano /etc/systemd/system/snort3.service
[Unit]
Description=Snort3 NIDS Daemon
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/bin/snort -c /usr/local/etc/snort/snort.lua -i eth0
Restart=always
User=snort
Group=snort

[Install]
WantedBy=multi-user.target

Regeln einpflegen

Balanced-IPS Policy (empfohlen)

# PulledPork3 für Regel-Management
cd /tmp
git clone https://github.com/shirkdog/pulledpork3.git
cd pulledpork3
sudo cp pulledpork.py /usr/local/bin/
sudo chmod +x /usr/local/bin/pulledpork.py

Community-Rules + lokale Regeln

# Regeln herunterladen
wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
tar -xzf snort3-community-rules.tar.gz
sudo cp -r snort3-community-rules/* /usr/local/etc/snort/

Heimkonfiguration

Netzwerk-Variablen für Ubuntu

-- Ubuntu Heimnetzwerk-Konfiguration
HOME_NET = '192.168.0.0/24'
EXTERNAL_NET = 'any'

-- Balanced-IPS für Heimnetze
ips = {
    mode = inline,
    variables = default_variables,
    rules = [[
        include $RULE_PATH/snort3-community.rules
        include $RULE_PATH/local.rules
    ]]
}

Ausgewogene IPS-Erkennung

Die balanced-ips Policy bietet eine ausgewogene Erkennung für Heimnetze ohne zu viele False-Positives.

Funktionstest

Systemd-Service starten

# Service aktivieren und starten
sudo systemctl enable snort3.service
sudo systemctl start snort3.service

# Status überprüfen
sudo systemctl status snort3.service

Logs mit journalctl

# Live-Logs anzeigen
journalctl -u snort3.service -f

# Letzte 100 Einträge
journalctl -u snort3.service -n 100

Troubleshooting

Ubuntu-spezifische Probleme

Service startet nicht

# Benutzer und Gruppe erstellen
sudo useradd -r -s /bin/false snort
sudo mkdir -p /var/log/snort
sudo chown snort:snort /var/log/snort

Berechtigungsfehler

# Konfiguration für snort-User zugänglich machen
sudo chown -R snort:snort /usr/local/etc/snort/

Downloads

Snort3 Source

Neueste Snort3-Version von GitHub

Download

Community Rules

Kostenlose Community-Regeln

Download

PulledPork3

Regel-Management-Tool

Download

Ubuntu ISO

Ubuntu Desktop herunterladen

Download

Weiterführende Ressourcen

Offizielle Dokumentation

Umfassende Snort3-Dokumentation

docs.snort.org

GitHub Repository

Source-Code und Issues

github.com/snort3

Community Forum

Hilfe und Diskussionen

snort.org/forums

Regel-Schreibung

Anleitung zum Schreiben eigener Regeln

Rule Writing Guide