Snort – popis, využití a instalační návod

Snort je open-source nástroj typu IDS/IPS (Intrusion Detection/Prevention System), který analyzuje síťový provoz a odhaluje podezřelé, škodlivé nebo anomální aktivity. Díky rozsáhlým pravidlům dokáže detekovat útoky, malware komunikaci, skenování portů nebo neobvyklé chování v síti.

Jak lze Snort využít

Snort umožňuje:

• detekci útoků a nežádoucího provozu v reálném čase,
• vyhodnocení síťové bezpečnosti a logování událostí,
• prevenci útoků, pokud je zapnut jako IPS,
• analýzu paketů a forenzní vyšetřování,
• běh na levném, úsporném hardwaru jako Raspberry Pi 5, který je ideální jako domácí či laboratorní síťový senzor.

Instalace Snort 3

Raspberry Pi OS (Bookworm) ARM64 už obsahuje potřebné balíky, takže instalace je poměrně jednoduchá.

Aktualizace systému

sudo apt update && sudo apt upgrade -y

Instalace závislostí

sudo apt install -y build-essential cmake libpcap-dev libpcre3-dev \
libdumbnet-dev bison flex zlib1g-dev liblzma-dev openssl libssl-dev \
luajit luajit-5.1-dev pkg-config libtool git

Instalace DAQ (Data Acquisition Library)

cd /usr/src
sudo git clone https://github.com/snort3/libdaq.git
cd libdaq
sudo ./bootstrap
sudo ./configure
sudo make -j4
sudo make install

Instalace Snort 3

cd /usr/src
sudo git clone https://github.com/snort3/snort3.git
cd snort3
sudo ./configure_cmake.sh --prefix=/usr/local
cd build
sudo make -j4
sudo make install
sudo ldconfig

Ověření instalace:

snort -V

Základní konfigurace Snortu

Vytvoření adresářů

sudo mkdir -p /etc/snort/rules
sudo mkdir -p /var/log/snort
sudo chmod -R 5775 /var/log/snort

Stažení komunitních pravidel

cd /etc/snort/rules
sudo wget https://snort.org/downloads/community/community-rules.tar.gz
sudo tar -xvzf community-rules.tar.gz

Vytvoření základního konfiguračního souboru

sudo nano /etc/snort/snort.lua

Vlož

-- Snort 3 základní konfigurace
ips =
{
  mode = tap,     -- pouze detekce (neblokuje provoz)
}

run_type = worker

alert_fast = true

-- Pravidla
include = '/etc/snort/rules/community-rules/community.rules'

Test konfigurace

sudo snort -c /etc/snort/snort.lua -T

Spuštění Snortu

Pasivní detekce (IDS)

sudo snort -c /etc/snort/snort.lua -i eth0

Logy událostí najdeš v:

/var/log/snort/

Snort jako služba (systemd)

Vytvoř službu:

sudo nano /etc/systemd/system/snort.service

Obsah:

[Unit]
Description=Snort IDS
After=network.target

[Service]
ExecStart=/usr/local/bin/snort -c /etc/snort/snort.lua -i eth0 -l /var/log/snort
Restart=on-failure

[Install]
WantedBy=multi-user.target

Aktivace:

sudo systemctl daemon-reload
sudo systemctl enable --now snort

Snort poskytuje výkonné a úsporné IDS řešení vhodné pro domácí laboratoř, zabezpečení LAN nebo sledování síťových anomálií. Díky nízkým nárokům a flexibilní konfiguraci je ideální pro studijní i produkční využití.