Snort - Instalação e configuração
Dica publicada em Linux / Segurança
Snort - Instalação e configuração
Baixar o código-fonte do Snort em www.snort.org. Recomendo instalar o Snort 2.0.0, mas tem versões mais atualizadas. Após baixar o Snort, leia o README e INSTALL, que se encontram no diretório /doc.
# tar xzvf snort-2.0.0.tar.gz
# cd snort-2.0.0
# vi doc/README
# vi doc/INSTALL
Será necessário a biblioteca libcap para que o Snort funcione corretamente. Tendo a biblioteca libpcap instalada, iremos para compilação do fonte.
# ./configure
# make
# make install
Com isso o Snort estará instalado. Para organizar vamos criar o diretório /etc/snort:
# mkdir /etc/snort
Dentro do código fonte do Snort, na pasta /etc, copie tudo que tem dentro dela para /etc/snort. Importante: Copie também as regras que ficam em /rules.
# pwd
/home/ch0wn/IDS/snort-2.0.0
# cp etc/ * /etc/snort
# cp -r rules / /etc/snort
Beleza. Feito isso nosso próximo passo é configurar o snort.conf, que está dentro de /etc/snort.
var HOME_NET $ppp0_ADDRESS
# para quem esta usando conexão discada
var EXTERNAL_NET any
# define a rede externa de qualquer IP
var DNS_SERVERS $HOME_NET
# define os serviços executados para o Snort analisar o trafego
var SMTP_SERVERS &HOME_NET
# define SMTP
var TELNET_SERVERS $HOME_NET
# define a Telnet
var HTTP_PORTS 80
# define a porta HTTP
var SHELLCODE_PORTS !80
# define qualquer porta diferente da 80
var RULE_PATH ./rules
# define o diretório de regras
# para quem esta usando conexão discada
var EXTERNAL_NET any
# define a rede externa de qualquer IP
var DNS_SERVERS $HOME_NET
# define os serviços executados para o Snort analisar o trafego
var SMTP_SERVERS &HOME_NET
# define SMTP
var TELNET_SERVERS $HOME_NET
# define a Telnet
var HTTP_PORTS 80
# define a porta HTTP
var SHELLCODE_PORTS !80
# define qualquer porta diferente da 80
var RULE_PATH ./rules
# define o diretório de regras
As regras sobre a área preprocessor definem assinaturas e strings. Tem que ser escolhidas individualmente.
Seguindo adiante digitaremos:
include $RULE_PATH/regra_a_usar.rules
Agora sim podemos iniciar o Snort, as man-pages e o famoso --help me ajudam muito, espero que ajudem a vocês também.
Limitaremo-nos, por hora, a iniciar o Snort com o comando:
# snort -D -c /etc/snort/snort.conf
Nós não tocamos nas configurações de log. Então está mantido o padrão, que é /var/log/snort.
Se tudo ocorreu bem, o Snort será listado ao se digitar o comando "ps aux" em um terminal qualquer. O /var/log/syslog vai te ajudar a resolver alguns problemas, basta você abrir ele com o tail.
# tail -f /var/log/syslog
Observe as mensagens enviadas ao log pelo sistema.
Abraços.
Espero que consiga instalar e configurar o Snort.
Qualquer dúvida entre em contato... valeu!
Outras dicas deste autor
Instalando o Debian 5.0 no Virtual PC 2007
Configuração do RAID 5 (Red Hat)
No process in pidfile '/var/run/zabbix/zabbix_server.pid' found running; none killed
Leitura recomendada
Conheça o FBPwn - Tenha cuidado ao aceitar uma solicitação no Facebook
Desabilitar login do root via SSH no ESXi
Ativando proxy transparente no SuSefirewall
Comentários
Ola!
Ao invés de "var SMTP_SERVERS &HOME_NET", o correto é
"var SMTP_SERVERS $HOME_NET".
Abçs
Ao invés de "var SMTP_SERVERS &HOME_NET", o correto é
"var SMTP_SERVERS $HOME_NET".
Abçs
faço tudo certo mas quando chega na hora do make ele não executa, eu instalo o make mas ele não rola! vc sabe o que pode ser?
diz que nenhum make foi encontrado.
abrç
diz que nenhum make foi encontrado.
abrç
apt-get libpcap\*
apt-get libpcap-dev
e também erá necessario o
"libpcer"
apt-get libpcer\*
apt-get libpcer-dev
depois é só instalar o snort!!!
Flw