Hướng dẫn cài đặt Snort trên Ubuntu 20.04

Cài đặt Snort trên Ubuntu là một trong những cách hiệu quả để tăng cường bảo mật mạng nhờ khả năng phát hiện xâm nhập theo thời gian thực. Bài viết này sẽ giúp bạn hiểu rõ Snort là gì, những điểm nổi bật của phiên bản Snort 3, và hướng dẫn chi tiết cách cài đặt trên Ubuntu 20.04. Ngoài ra, mình cũng chia sẻ cách cấu hình rule, kiểm tra hoạt động, tối ưu hiệu suất và khắc phục lỗi phổ biến. Nếu bạn đang tìm một giải pháp NIDS mạnh mẽ, dễ triển khai và có thể tích hợp tốt với hạ tầng hiện có, đây là hướng dẫn bạn không nên bỏ qua.

Điểm chính cần nắm

• Snort là gì?: Giới thiệu tổng quan về Snort và vai trò của nó trong giám sát an ninh mạng.
• Các tính năng nổi bật của Snort 3: Tóm tắt những điểm mạnh mới như hiệu suất cao, hỗ trợ đa luồng và cấu hình linh hoạt.
• Chuẩn bị trước khi cài đặt Snort trên Ubuntu: Liệt kê các bước chuẩn bị như cập nhật hệ thống, cài gói phụ thuộc.
• Cài đặt Snort 3 trên Ubuntu 20.04: Hướng dẫn từng bước cài đặt và cấu hình cơ bản Snort 3.
• Kiểm tra và cập nhật Snort: Cách kiểm tra hoạt động Snort và cập nhật định kỳ để đảm bảo hiệu quả.
• Cấu hình Network Interface cho Snort: Thiết lập interface mạng đúng chế độ để Snort hoạt động hiệu quả.
• Cấu hình Snort chạy như một dịch vụ: Hướng dẫn chạy Snort dưới dạng dịch vụ với systemd để quản lý dễ dàng hơn.
• Cài đặt Community Rules cho Snort 3: Cách tải, giải nén và cấu hình rule miễn phí từ cộng đồng cho Snort.
• Cấu hình bảo mật và tối ưu hóa Snort: Các bước cải thiện hiệu suất và tăng cường bảo mật khi dùng Snort.
• Kiểm tra và duy trì Snort: Cách giám sát log, phát hiện sự cố và cập nhật định kỳ cho hệ thống Snort.
• Lỗi thường gặp và cách khắc phục khi cài đặt Snort trên Ubuntu: Tổng hợp lỗi phổ biến khi cài Snort và cách xử lý.
• Vietnix – Giải pháp lưu trữ tốc độ cao cho website ổn định và an toàn: Giới thiệu giải pháp lưu trữ hiệu suất cao từ Vietnix, phù hợp triển khai Snort.
• FAQ: Trả lời các câu hỏi thường gặp liên quan đến cài đặt và sử dụng Snort trên Ubuntu.

Snort là gì?

Snort là hệ thống phát hiện xâm nhập mạng (NIDS) mã nguồn mở, được sử dụng rộng rãi để giám sát lưu lượng mạng và phát hiện các cuộc tấn công tiềm ẩn. Snort có khả năng phân tích gói dữ liệu được gửi hoặc nhận qua một giao diện mạng cụ thể. Hệ thống này hoạt động bằng cách nhận diện các mối đe dọa thông qua các phân tích giao thức và phát hiện dựa trên chữ ký (signature-based detection).

Khi cài đặt và cấu hình chính xác, Snort có thể giúp phát hiện các loại tấn công khác nhau như tấn công CGI, vi phạm chính sách mạng, SMB, nhiễm phần mềm độc hại, và xâm nhập hệ thống, góp phần bảo vệ hệ thống mạng một cách hiệu quả.

Các tính năng nổi bật của Snort 3

Snort 3 mang đến một số cải tiến mạnh mẽ so với các phiên bản trước. Một số tính năng đáng chú ý của Snort 3 bao gồm:

• Xử lý nhiều gói: Snort 3 cho phép xử lý đồng thời nhiều gói, nâng cao khả năng phát hiện và xử lý nhanh chóng.
• Tự động tạo tài liệu tham khảo: Snort 3 có khả năng tự động tạo tài liệu tham khảo, giúp người dùng dễ dàng theo dõi và quản lý các mối đe dọa.
• Tính năng plugin: Người dùng có thể viết các plugin riêng để mở rộng và tùy chỉnh tính năng của Snort.
• Chạy quy tắc nhanh hơn: Các quy tắc phát hiện trong Snort 3 được tối ưu hóa để chạy nhanh hơn, giảm độ trễ trong việc phát hiện mối đe dọa.

Chuẩn bị trước khi cài đặt Snort trên Ubuntu

Trước khi bắt tay vào cài đặt Snort trên Ubuntu, chúng ta cần đảm bảo rằng hệ thống Ubuntu đã được cập nhật đầy đủ và cài đặt các gói phụ thuộc cần thiết. Đây là bước quan trọng để đảm bảo quá trình cài đặt không gặp phải bất kỳ lỗi nào.

• Cập nhật hệ thống: Đảm bảo hệ thống được cập nhật với các bản vá bảo mật mới nhất.

sudo apt update && sudo apt upgrade -

• Cài đặt các gói phụ thuộc: Snort yêu cầu một số gói như libpcap-dev, libpcre3-dev,… để biên dịch và chạy tốt.

sudo apt install -y \
  build-essential \
  cmake \
  bison \
  flex \
  libpcap-dev \
  libpcre3-dev \
  libdumbnet-dev \
  liblzma-dev \
  libssl-dev \
  zlib1g-dev \
  libnghttp2-dev \
  git \
  libjemalloc-dev \
  libcurl4-openssl-dev

• Cấu hình firewall: Nếu hệ thống sử dụng firewall, cần mở các cổng cần thiết cho Snort.
• Xác định giao diện mạng: Chọn giao diện mạng để giám sát gói dữ liệu.
• Tải bộ quy tắc Snort: Tải bộ quy tắc từ Snort.org để sử dụng cho việc phát hiện mối đe dọa.

1. Cài đặt Snort trên Ubuntu 20.04

• Tải mã nguồn Snort 3: Mình sẽ chuyển đến thư mục /opt và tải mã nguồn Snort từ GitHub.

cd /opt
sudo git clone https://github.com/snort3/snort3.git
cd snort3

• Biên dịch và cài đặt Snort: Sau khi tải mã nguồn, chúng ta sẽ biên dịch và cài đặt Snort.

sudo cmake .
sudo make
sudo make install

2. Cấu hình Snort 3

• Tạo các thư mục cần thiết: Snort yêu cầu các thư mục chứa các file cấu hình, quy tắc và logs.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/so_rules
sudo mkdir /var/log/snort

• Tải bộ quy tắc Snort: Snort sử dụng các quy tắc để phát hiện các mối đe dọa. Bạn có thể tải bộ quy tắc miễn phí từ trang chính thức của Snort.

sudo curl -O https://snort.org/downloads/community/snort3-community-rules.tar.gz
sudo tar -xvzf snort3-community-rules.tar.gz -C /etc/snort/rules/

• Cập nhật file cấu hình Snort: Tiếp theo, cần chỉnh sửa file cấu hình snort.conf để đảm bảo các đường dẫn và thư mục chính xác. Mở file cấu hình và cập nhật các thông tin đường dẫn cho phù hợp với hệ thống của bạn.

sudo nano /etc/snort/snort.conf

3. Kiểm tra và chạy Snort

• Kiểm tra cấu hình Snort: Trước khi chạy Snort, bạn cần kiểm tra lại file cấu hình để đảm bảo không có lỗi.

sudo snort -T -c /etc/snort/snort.conf

• Chạy Snort: Cuối cùng, để chạy Snort và giám sát giao diện mạng, hãy sử dụng lệnh bên dưới.

sudo snort -A console -c /etc/snort/snort.conf -i eth0
# Trong đó, eth0 là giao diện mạng mà bạn muốn giám sát. Đảm bảo thay đổi nó cho phù hợp với giao diện mạng của bạn.

Kiểm tra và cập nhật Snort

Sau khi cài đặt và cấu hình xong, việc thường xuyên kiểm tra và cập nhật Snort là rất cần thiết để đảm bảo hệ thống luôn sẵn sàng phát hiện các mối đe dọa mới.

Kiểm tra và chạy Snort

• Kiểm tra phiên bản Snort: Bạn có thể kiểm tra phiên bản Snort hiện tại bằng lệnh.

snort -V
# Lệnh này sẽ hiển thị phiên bản Snort đang được cài đặt, cùng với thông tin biên dịch.

• Cập nhật quy tắc Snort: Snort hoạt động dựa trên các bộ quy tắc (rules). Việc cập nhật các quy tắc này giúp Snort nhận diện được các kiểu tấn công mới. Có hai cách chính để cập nhật:

Cách 1: Tải thủ công từ Snort.org (Community Rules): Truy cập https://www.snort.org/downloads và tải về bộ quy tắc mới nhất, sau đó giải nén vào thư mục chứa rules:

sudo curl -O https://snort.org/downloads/community/snort3-community-rules.tar.gz
sudo tar -xvzf snort3-community-rules.tar.gz -C /etc/snort/rules/

Cách 2: Sử dụng tool PulledPork (áp dụng với Snort 2.x, Snort 3 hiện đang thiếu tool tương đương chính thức): Nếu bạn đang sử dụng song song cả Snort 2, có thể dùng PulledPork để tự động hóa việc tải và cập nhật rules.

Kiểm tra lại cấu hình sau cập nhật

Sau khi cập nhật, nên kiểm tra lại file cấu hình Snort để đảm bảo không có lỗi liên quan đến các quy tắc mới.

sudo snort -T -c /etc/snort/snort.conf
# Nếu không có lỗi, Snort đã sẵn sàng hoạt động với bộ quy tắc mới nhất.

Cấu hình Network Interface cho Snort

Để Snort hoạt động hiệu quả, bạn cần chỉ định đúng giao diện mạng (network interface) mà Snort sẽ giám sát. Việc này đảm bảo Snort có thể đọc được lưu lượng mạng và phân tích chính xác các gói dữ liệu.

• Xác định giao diện mạng: Trước tiên, hãy xác định tên giao diện mạng mà bạn muốn Snort theo dõi.

sudo curl -O https://snort.org/downloads/community/snort3-community-rules.tar.gz
sudo tar -xvzf snort3-community-rules.tar.gz -C /etc/snort/rules/

Hoặc

ifconfig

Bạn sẽ thấy danh sách các giao diện như eth0, ens33, enp0s3, lo (loopback)… Trong đó, hãy chọn giao diện kết nối với mạng ngoài (ví dụ: eth0, enp0s3).

• Tắt chế độ Promiscuous mặc định (nếu cần): Mặc định, một số giao diện có thể không ở chế độ promiscuous – chế độ cho phép giao diện nhận tất cả các gói đi qua, không chỉ những gói gửi đến chính nó. Bạn có thể bật chế độ này bằng lệnh bên dưới.

sudo ip link set eth0 promisc on
# Thay eth0 bằng giao diện bạn sử dụng.

• Chạy Snort với giao diện đã chọn: Khi đã xác định được giao diện mạng, bạn có thể chạy Snort với tham số -i để chỉ định giao diện

sudo snort -A console -c /etc/snort/snort.conf -i eth0

Nếu bạn muốn chạy ở chế độ lặng (không hiển thị cảnh báo ra console), có thể thêm -q:

sudo snort -q -c /etc/snort/snort.conf -i eth0

• Tự động cấu hình giao diện khi khởi động: Để tiện lợi hơn, bạn có thể tạo một systemd service hoặc script để tự động bật chế độ promiscuous và chạy Snort khi máy khởi động.

Cấu hình Snort chạy như một dịch vụ

Để Snort có thể tự động khởi động cùng hệ thống và chạy liên tục như một dịch vụ nền (daemon), bạn có thể cấu hình Snort dưới dạng một dịch vụ systemd.

• Tạo file dịch vụ systemd cho Snort: Tạo file mới tại /etc/systemd/system/snort.service

sudo nano /etc/systemd/system/snort.service

• Thêm nội dung sau:

[Unit]
Description=Snort NIDS Daemon
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/bin/snort -q -c /etc/snort/snort.conf -i eth0
ExecReload=/bin/kill -HUP $MAINPID
Restart=on-failure

[Install]
WantedBy=multi-user.target

• Reload lại systemd và kích hoạt dịch vụ

sudo systemctl daemon-reload
sudo systemctl enable snort.service
sudo systemctl start snort.service

• Kiểm tra trạng thái dịch vụ:

sudo systemctl enable snort.service

• Kiểm tra log hoặc lỗi nếu Snort không khởi động: Nếu Snort không chạy đúng, bạn có thể xem log chi tiết.

journalctl -xe

Hoặc:

sudo tail -f /var/log/syslog

Với cấu hình này, Snort sẽ tự động khởi động và giám sát mạng sau mỗi lần reboot, giúp bạn đảm bảo hệ thống luôn được bảo vệ theo thời gian thực.

Bướ 1: Tạo tài khoản và tải Community Rules

1. Truy cập: https://www.snort.org/downloads
2. Chọn Community Rules và đăng nhập bằng tài khoản Snort (nếu chưa có, bạn cần đăng ký).
3. Sau khi đăng nhập, tải file có định dạng: snortrules-snapshot-XXX.tar.gz
   (ví dụ: snortrules-snapshot-3000.tar.gz)

Bước 2: Giải nén và sao chép rule

Giả sử file tải về nằm trong thư mục ~/Downloads, bạn thực hiện:

cd ~/Downloads
tar -xvzf snortrules-snapshot-3000.tar.gz

Sao chép các file rule vào thư mục Snort:

sudo cp -r rules /etc/snort/
sudo cp etc/snort.conf /etc/snort/
sudo cp -r preproc_rules /etc/snort/

Bước 3: Kiểm tra và tùy chỉnh file snort.conf

Mở file cấu hình:

sudo nano /etc/snort/snort.conf

Kiểm tra và điều chỉnh các dòng sau:

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
# Bảo đảm rằng các biến đường dẫn này trỏ đúng đến nơi bạn vừa copy rule.

Bước 4: Kiểm tra cấu hình

Trước khi chạy Snort, bạn cần kiểm tra xem cấu hình có lỗi không:

snort -T -c /etc/snort/snort.conf -i eth0
# Thay eth0 bằng interface bạn đang dùng.

Cấu hình bảo mật và tối ưu hóa Snort

Sau khi cài đặt, bạn cần cấu hình thêm để đảm bảo Snort hoạt động an toàn và hiệu quả trong môi trường thực tế.

Một số cách bảo mật Snort:

• Tạo người dùng riêng cho Snort:

sudo useradd snort -r -s /sbin/nologin
sudo chown -R snort:snort /etc/snort /var/log/snort

• Giới hạn quyền truy cập file cấu hình:

sudo chmod -R o-rwx /etc/snort

• Chạy Snort ở chế độ không root bằng systemd: Khi tạo file service (đã làm ở bước trước), bảo đảm User=snort để tránh chạy dưới quyền root.

Một số cách tối ưu hóa hiệu suất:

• Tắt các rule không cần thiết trong file snort.conf để giảm tải xử lý.
• Cấu hình đa luồng phù hợp với chế độ hoạt động:
  • Nếu dùng inline: --daq-mode inline
  • Nếu chạy thụ động: --daq afpacket
• Theo dõi log để phát hiện các rule gây tràn log hoặc gây false-positive nhiều.

Kiểm tra và duy trì Snort

Snort chỉ hiệu quả khi được cập nhật và theo dõi thường xuyên.

Theo dõi log Snort:

• File log mặc định: /var/log/snort/snort.log.*
• Đọc log cảnh báo theo thời gian thực: tail -f /var/log/snort/alert
• Hoặc dùng tcpdump để xem trực tiếp trên giao diện mạng: sudo tcpdump -i eth0 -nn

Tự động cập nhật rule (gợi ý sử dụng PulledPork hoặc Oinkmaster):

• Hai công cụ này giúp tải rule mới từ Snort.org và cập nhật vào hệ thống dễ dàng.
• Bạn có thể lên cronjob để cập nhật định kỳ.

Kiểm tra trạng thái dịch vụ Snort: sudo systemctl status snort

Hoặc khởi động lại nếu cần: sudo systemctl restart snort

Lỗi thường gặp và cách khắc phục khi cài đặt Snort trên Ubuntu

Dưới đây là một số lỗi phổ biến bạn có thể gặp khi cài đặt Snort trên Ubuntu:

Vietnix – Giải pháp lưu trữ tốc độ cao cho website ổn định và an toàn

Vietnix cung cấp dịch vụ hosting và VPS hiệu suất cao, giúp website luôn hoạt động nhanh chóng, ổn định và bảo mật. Với hạ tầng máy chủ hiện đại đặt tại Việt Nam, hệ thống được tối ưu liên tục cùng đội ngũ kỹ thuật giàu kinh nghiệm hỗ trợ 24/7, Vietnix là lựa chọn đáng tin cậy cho cá nhân và doanh nghiệp muốn tối ưu tốc độ tải trang, giảm thiểu downtime và đảm bảo an toàn dữ liệu. Từ những dự án nhỏ đến các hệ thống web lớn, Vietnix đều mang đến giải pháp linh hoạt, tiết kiệm chi phí nhưng vẫn đảm bảo chất lượng dịch vụ vượt trội.

Thông tin liên hệ:

• Website: https://vietnix.vn/
• Hotline: 1800 1093
• Email: sales@vietnix.com.vn
• Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, TP HCM.

Lời kết

Việc cài đặt Snort trên Ubuntu sẽ giúp bạn chủ động giám sát mạng, phát hiện sớm các cuộc tấn công và nâng cao khả năng phòng thủ hệ thống. Nếu bạn có bất cứ thắc mắc nào trong quá trình triển khai, đừng ngần ngại để lại bình luận hoặc gửi câu hỏi trực tiếp. Mình sẽ hỗ trợ bạn kiểm tra, cấu hình và tối ưu Snort một cách hiệu quả nhất. Và nếu bạn cần một nền tảng lưu trữ tốc độ cao để chạy Snort ổn định, hãy tham khảo giải pháp VPS của Vietnix!

Mọi người cũng xem: