Snort (snort.conf)
Feita a instalação do Snort o proximo passo é configurar o snort.conf, dentro do /etc/snort.
Aqui, colocarei o principal, pois a conf. depende muito de cada maquina e o arquivo .conf do Snort já vem muito bem documentado.
Aqui, colocarei o principal, pois a conf. depende muito de cada maquina e o arquivo .conf do Snort já vem muito bem documentado.
var HOME_NET $ppp0_ADDRESS #isso para conexao discada. var EXTERNAL_NET any #define a rede externa de qualquer ip var DNS_SERVERS $HOME_NET #define os servicos executados aqui para o snort analizar o trafico var SMTP_SERVERS $HOME_NET #define o smtp var TELNET_SERVERS $HOME_NET #define o telnet. var HTTP_PORTS 80 # define http porta var SHELLCODE_PORTS 80 #define aqualquer porta diferente (!) de 80 var RULE_PATH ./rules #define o diretorio das regras como ./rules ouseja, /etc/snort/rules (wur copiei acima.) # Lembrando que as regras sobre o processador que definem #assinaturas e strings tem que ser escolhidas por cada um, para #atender suas necessidades # basta fazer o seguinte: include $RULE_PATH/regra_a_usar.rules #Lembram, sempre olhem as regras. # iniciaremos o snort com o comando. service snort start # se tudo estiver certo o snort aparecera no famoso ps aux. # caso nao esteja da uma olhada no arquivo de log. # o padrao será /var/log/snort #Existem muitas funcoes nao descritas aqui, pois esse texto foi o basico para iniciar o snort.
