Snort - The Open Source Network Intrusion Detection System
O Snort é uma sistema de IDS (Intrusion Detect System) que funciona tanto pra manter a segurança como para espiar o que se passa pela sua rede. É um prático sniffer que fica "farejando" a rede em busca de pacotes suspeitos e informa nos arquivos de log tudo o que está acontecendo.
[ Hits: 24.556 ]
Por: Thiago Alves em 20/10/2004 | Blog: http://www.seeufosseopresidente.com.br
Introdução
Ele vai funcionar da forma mais simples possível, sem interagir com nenhum outro programa.
Download do Snort
Você pode achar o Snort para se baixar no próprio site http://www.snort.org. Existe a versão 2.2.0 e a 2.1.3, neste artigo vamos usar a versão 2.2.0.
# wget -c http://www.snort.org/dl/snort-2.2.0.tar.gz
São aproximadamente 2MB, deve demorar um pouquinho dependendo da conexão.
Instalando o Snort
Com o tarball em mãos, digite os seguintes comandos:
# tar zxvf snort-2.2.0.tar.gz
# cd snort-2.2.0
Agora estamos prontos para instalar, certifique-se que você tenha a libpcap instalada, caso não tenha, baixe-a na seguinte URL:
# wget -c http://www.tcpdump.org/release/libpcap-0.8.3.tar.gz
Para instalar é simples:
# ./configure
# make
# make install
# ldconfig
Agora vamos continuar a instalação do Snort da forma simples:
# ./configure
# make
# make install
Vamos criar o diretório para que os logs sejam armazenados:
# mkdir /var/log/snort
Iniciando o Snort
Primeiro vamos arrumar o diretório do Snort pra gente poder usar a regras e o arquivo de configuração que vem nele próprio:
# mv snort-2.2.0 snort
Agora edite o snort/etc/snort.conf e descomente a seguinte linha:
Agora vamos iniciar o Snort:
# snort -D -c snort/etc/snort.conf -A fast
Agora o Snort vai rodar como daemon e vai ficar logando todas as ocorrências no arquivo /var/log/snort/alert. Se por exemplo, alguém rodar um portscan no seu IP, você vai receber algumas mensagem no arquivo alert da seguinte maneira:
09/29-14:46:53.372042 [**] [1:1420:11] SNMP trap tcp [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:162
09/29-14:46:53.375268 [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:705
09/29-14:46:58.423072 [**] [1:1226:4] X11 xopen [**] [Classification: Unknown Traffic] [Priority: 3] {TCP} 192.168.1.100:41967 -> 192.168.1.2:6000
09/29-14:46:58.463005 [**] [1:1228:6] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39124 -> 192.168.1.2:1
Conclusões
Bom, agora o Snort já vai estar funcionando de forma satisfatória pra controlar o que está ocorrendo externamente contra o seu computador. Dessa maneira o Snort não estará funcionando com 100% de sua capacidade, mas vai ajudar um pouco.
Um simples artigo para aumentar o seu controle na rede. Com mais tempo vou escrevendo outros artigos ilustrando melhores formas de trabalhar com o Snort.
Para mais leituras, acesse o site do próprio programa: http://www.snort.org e leia a documentação. Dentro do source tem um diretório doc/ onde contém vários arquivos README ensinando outras formas de uso, as quais abordarei mais pra frente.
Espero ter ajudado um pouco mais e qualquer dúvida, erro ou correção, posta aí um comentário ou mande um e-mail pra gente dar um jeito de consertar.
Aplicando o patch do grsecurity no kernel 2.4
Compilando Apache 2 com PHP, MySQL, mod_perl e mod_ssl
OpenBSD IDS - Solução Snort e BASE
Proteção utilizando fail2ban contra ataques do tipo
Firefox 2 e seu recurso de proteção contra Web Phishing
IDS com Debian 4, Snort 2.8.3.1 e BASE 1.4.1
Malware, Vírus e Hacking. Estamos seguros usando Linux?
Nmap - Comandos úteis para um administrador de sistemas Linux
Caro cvs,
Esse artigo não tem novidade nenhuma, você poderia ter falado sobre ACID, Snort com Guardian, Snort com MySQL e etc.
Na boa apenas deveria ter incrementado com alguma ferramenta, falou.
cvs,
garanto que o artigo irá ajudar ao pessoal que não tem conhecimento de ferramentas como snort a começar a analisar algumas possibilidades para aprender um pouco mais.
[]s
um artigo simples, pro pessoal que não sabe ou não conhece já ir conhecendo o snort, mas tá parecendo mais uma dica do que um artigo.
que pode ser isso...aqui
ATAL ERROR: Unable to open rules file: snort/etc/snort.conf or snort/etc/snort/etc/snort.conf
Bem a partir desse artigo já deu até vontade de instalar o snort.
Artigo muito bom para quem sabia nada ou ja tinha ouvido falar mas nao tinha instalado.... cvs a partir destes vc poderia escrever , digamos, uma série de artigo relacionados ao snort tenho certeza que seriam muito bons, fica ai a sugestao.
Hehehe, quer dizer que você também entrou na moda dos artigos dicas, neh? :)
Bem, acho que o pessoal já comentou o que eu queria falar... to na espera do próximo.
[]s
Caramba Engos você só reclama, parece mulher grávida nunca esta contente e satisfeito com nada. Só falta você também reclamar dos meus artigos.....(risos).
Bouncer o problema e que vc nao adicionou corretamente o path para os arquivos de regras do snort ... edite o seu snort.conf e corrija o path.
Artigos sobre Snort tem aos montes pela Web, e deveriam ser mencionados.
http://www.linuxsecurity.com.br/info/IDS/slackware_acid_fwsam_flexresp.pdf
http://www.underlinux.com.br/modules.php?name=Sections&op=viewarticle&artid=167
Mas ter uma noticia aki no VOL faz com que ninguem tenha que ir procurar em outro site, e estariamos atraindo mais visitantes.
Eduardo Assis
Realmente ficou meio "vazio" o artigo.
Mas de qualquer forma, já é uma introdução, para quem não tem muito conhecimento de segurança, mas quer se aprofundar no assunto.
Este artigo somado com o "Snort avançado" ficou excelente.
Parabéns.
Artigo Legal, estou começando a estudar o SNORT agora, não tenho muito conhecimento dele mas ja ajuda.
muito legal falou pouco mas entendi tudo
Patrocínio
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Excluir banco de dados no xampp (1)
phpmyadmin não abre no xampp (2)
Top 10 do mês
-
Xerxes
1° lugar - 63.226 pts -
Fábio Berbert de Paula
2° lugar - 49.206 pts -
Buckminster
3° lugar - 17.087 pts -
Mauricio Ferrari
4° lugar - 14.851 pts -
Alberto Federman Neto.
5° lugar - 13.335 pts -
Diego Mendes Rodrigues
6° lugar - 13.154 pts -
Daniel Lara Souza
7° lugar - 12.615 pts -
Andre (pinduvoz)
8° lugar - 10.019 pts -
edps
9° lugar - 9.933 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 9.759 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
