Configurando o IDS - Snort / Honeypot (parte 1)

Esse meu artigo é sobre IDS (Intrusion Detection System) ou Sistemas de Detecção de Intrusos, inicialmente vou falar sobre o Snort que é considerado o melhor dentre os softwares livres utilizados para este serviço.

[ Hits: 150.021 ]

Por: Jefferson Estanislau da Silva em 18/09/2003


Conclusão



Não sou um perito em segurança, mas neste pouco tempo em que tenho utilizado o Snort, já deu para perceber que ela, juntamente com o Honeypot, são realmente ótimas ferramentas para monitoração e estudo de ataques.

Na parte 2 deste artigo, irei falar sobre o Honeypot para complementar o uso desta ferramenta.

Por: Jefferson Estanislau da Silva
Analista de Sistemas

Página anterior    

Páginas do artigo
   1. Introdução
   2. Instalação
   3. Executando o Snort
   4. Conclusão
Outros artigos deste autor

Software Livre - GNU x LPG e o Governo x Economia (parte 2)

Configurando o IDS - Snort / Honeypot (parte 2)

Software Livre - GNU x LPG e o Governo x Economia (parte 1)

GNU/Linux: Depois dele o mundo não é mais o mesmo!

História do GNU/Linux: 1965 assim tudo começou!

Leitura recomendada

VPN com openVPN no Slackware 11

Bom escudo não teme espada: o módulo pam_cracklib

Wmap web scanner

Malware, Vírus e Hacking. Estamos seguros usando Linux?

SmoothWall - Linux para gateway

  
Comentários
[1] Comentário enviado por fabio em 18/09/2003 - 18:55h

Beleza de artigo Jeca, meus parabéns!

[2] Comentário enviado por hyperblade em 18/09/2003 - 21:59h

Salve!

r0x belo de artigo mesmo ;-)

chegando em casa irei rodar, sendo que na empresa fiz um teste rodou 100 %

Abraços
hyperblade
lucas.martinez@linuxdicas.com.br

[3] Comentário enviado por VeNtUrInI em 03/10/2003 - 08:40h

Cara Esse Artigo Me Ajudou Mtooo Valewsss Pela Dica !!!!

[4] Comentário enviado por JuNiOx em 09/03/2004 - 00:56h

tive os seguintes erros ao executar o "make"...
---
/usr/include/time.h:158: redefinition of `struct itimerspec'
make[3]: *** [spo_alert_fast.o] Error 1
make[3]: Leaving directory `/home/juniox/snort-2.1.1/src/output-plugins'
make[2]: *** [all-recursive] Error 1
make[2]: Leaving directory `/home/juniox/snort-2.1.1/src'
make[1]: *** [all-recursive] Error 1
make[1]: Leaving directory `/home/juniox/snort-2.1.1'
make: *** [all] Error 2
---

sabe a solução?

juniox@vivaolinux.com.br

valew!!

[5] Comentário enviado por hyperblade em 05/08/2004 - 00:38h

Salve Jefferson ,

Quando eu dou o comando para executar ele me apresenta o seguinte erro:

root@hyperblade:/usr/local/snort/bin# ./snort -c /etc/snort/snort.conf -i eth0 &
[1] 7611
root@hyperblade:/usr/local/snort/bin# Running in IDS mode
Log directory = /var/log/snort

Initializing Network Interface eth0

--== Initializing Snort ==--
Initializing Output Plugins!
Decoding Ethernet on interface eth0
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /etc/snort/snort.conf

+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
ERROR: Undefined variable name: (/etc/snort/snort.conf:107): RULE_PATH
Fatal Error, Quitting..

[1]+ Exit 1 ./snort -c /etc/snort/snort.conf -i eth0

Quando eu vejo a linha 107 fiz da forma que esta no artigo:
Linha 106 ==> # Path to your rules files (this can be a relative path)
Linha 107 ==> include $RULE_PATH/bad-traffic.rules

O que eu fiz ? coloquei assim na linha 107 # include $RULE_PATH/bad-traffic.rules depois disso ele foi bem para frente mais deu erro na linha 287 onde eu parei =/

[1] 7636
root@hyperblade:/usr/local/snort/bin# Running in IDS mode
Log directory = /var/log/snort

Initializing Network Interface eth0

--== Initializing Snort ==--
Initializing Output Plugins!
Decoding Ethernet on interface eth0
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /etc/snort/snort.conf

+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
,-----------[Flow Config]----------------------
| Stats Interval: 0
| Hash Method: 2
| Memcap: 10485760
| Rows : 4099
| Overhead Bytes: 16400(%0.16)
`----------------------------------------------
No arguments to frag2 directive, setting defaults to:
Fragment timeout: 60 seconds
Fragment memory cap: 4194304 bytes
Fragment min_ttl: 0
Fragment ttl_limit: 5
Fragment Problems: 0
Self preservation threshold: 500
Self preservation period: 90
Suspend threshold: 1000
Suspend period: 30
Stream4 config:
Stateful inspection: ACTIVE
Session statistics: INACTIVE
Session timeout: 30 seconds
Session memory cap: 8388608 bytes
State alerts: INACTIVE
Evasion alerts: INACTIVE
Scan alerts: INACTIVE
Log Flushed Streams: INACTIVE
MinTTL: 1
TTL Limit: 5
Async Link: 0
State Protection: 0
Self preservation threshold: 50
Self preservation period: 90
Suspend threshold: 200
Suspend period: 30
Stream4_reassemble config:
Server reassembly: INACTIVE
Client reassembly: ACTIVE
Reassembler alerts: ACTIVE
Zero out flushed packets: INACTIVE
flush_data_diff_size: 500
Ports: 21 23 25 53 80 110 111 143 513 1433
Emergency Ports: 21 23 25 53 80 110 111 143 513 1433
ERROR: /etc/snort/snort.conf(287) => Unknown rule type: path
Fatal Error, Quitting..

[6] Comentário enviado por hyperblade em 05/08/2004 - 01:09h

O problema esta mesmo na linha 107 onde esta pegando eu voltei tudo

Initializing rule chains...
ERROR: Undefined variable name: (/etc/snort/snort.conf:107): RULE_PATH
Fatal Error, Quitting..

Alguma dica ?

[7] Comentário enviado por jeffestanislau em 05/08/2004 - 10:10h

Lucas,

Nas instalações que eu fiz, sempre passei na boa sem erros...
mesmo assim vou tentar verificar e te retorno se encontrar a resposta pra isso!!!
blz!!!
[]´s

[8] Comentário enviado por tomcarlos em 10/04/2006 - 15:07h

Ola Jefferson,

eu utilizo o snort em meu roteador e gostaria de usar um frontend para o mesmo.
vc conhece algum interessante?
tentei usar o snortcenter mas pelo q parece ele soh funciona com um BD (Mysql ou postgree

flw

[9] Comentário enviado por calves em 11/07/2006 - 17:17h

Po cara realizei a instalação porém ele não criou o arquivo de configuração o snort.conf, ele criou somente os diretorios bin / lib / man.
Vc sabe o por que?

[10] Comentário enviado por Thiago Madella em 10/07/2008 - 16:56h

Boa garoto...muito bom mesmo, adorei o artigo.

[11] Comentário enviado por cesarpazebao em 14/01/2010 - 21:30h

Olah JeffStanislau boa noite otimo artigo a respeito do snort.

Porem tenho uma grande duvida nao sei se vc pode esclarecer-me.

Estou montando um router com iptables + squid para controlar uma rede local e wireless... Estou com duvida ainda se teria algum problema o snort ser instalado nesse mesmo router para monitorar as interfaces de rede. Que vc acha da idéia ? Tem alguma opiniao a respeito ?

Caso os colegas aqui do forum quiserem opinar por favor sera bem vindo


Obrigado


[12] Comentário enviado por eduardo_cardoso em 13/10/2017 - 15:35h

estou com este erro na inicialização
root@ubuntu:/etc/snort# /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
ERROR: /etc/snort/snort.conf(326) => Invalid keyword '}' for server configuration.
Fatal Error, Quitting..
comentei a linha 326 mas o erro vai para linha 329 e parei por aqui
estou começando agora com linux

Alguem sabe como resolver


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts