Snort 2.9 sous ubuntu-server 24.04

Installation de Snort 2.9 sur ubuntu server 24.04

sudo apt update
sudo apt install snort

Test de la configuration

sudo snort -T -c /etc/snort/snort.con

Dans le fichier de conf de snort on ajoute l’adresse de notre réseau 192.168.88.0/24

sudo nano /etc/snort/snort.conf

On cherche la ligne ipvar HOME_NET et on renseigne l’adresse réseau 192.168.88.0/24

Utilisation de Snort comme un IDS

sudo snort -A console -q -c /etc/snort/snort.conf -i ens33

Ajouter une règles pour détecter les scans sur le port 22

Dans le répertoire /etc/snort/rules on édite le fichier local.rules

sudo nano /etc/snort/rules/local.rules

Et on ajoute cette règle :

alert tcp any any -> $HOME_NET 22 (msg:"Scan SSH détecté"; priority:1; sid:1000001; rev:1;)

Test de scan avec Nmap

Depuis Kali Linux avec un nmap on lance un scan sur le port 22 de la VM dont l’adresse ip est 192.168.88.150

sudo nmap -sV -p 22 192.168.88.150

Retour de la console snort :

sudo snort -A console -q -c /etc/snort/snort.conf -i ens33

Le scan est bien détecté

Nouveau scan sur une autre machine du réseau 192.168.88.195

sudo nmap -sV -p 22 192.168.88.195

Retour de la console snort :

sudo snort -A console -q -c /etc/snort/snort.conf -i ens33

Le scan est bien détecté