Snort - Instalação e configuração

Publicado por Smurf em 23/08/2006

[ Hits: 33.609 ]

2 0

Denuncie Favoritos Indicar Impressora

Snort - Instalação e configuração

Com um firewall bem configurado, podemos colocar um pouco mais de segurança na nossa rede.

Baixar o código-fonte do Snort em www.snort.org. Recomendo instalar o Snort 2.0.0, mas tem versões mais atualizadas. Após baixar o Snort, leia o README e INSTALL, que se encontram no diretório /doc.

# tar xzvf snort-2.0.0.tar.gz
# cd snort-2.0.0
# vi doc/README
# vi doc/INSTALL

Será necessário a biblioteca libcap para que o Snort funcione corretamente. Tendo a biblioteca libpcap instalada, iremos para compilação do fonte.

# ./configure
# make
# make install

Com isso o Snort estará instalado. Para organizar vamos criar o diretório /etc/snort:

# mkdir /etc/snort

Dentro do código fonte do Snort, na pasta /etc, copie tudo que tem dentro dela para /etc/snort. Importante: Copie também as regras que ficam em /rules.

# pwd
/home/ch0wn/IDS/snort-2.0.0
# cp etc/ * /etc/snort
# cp -r rules / /etc/snort

Beleza. Feito isso nosso próximo passo é configurar o snort.conf, que está dentro de /etc/snort.

var HOME_NET $ppp0_ADDRESS
# para quem esta usando conexão discada

var EXTERNAL_NET any
# define a rede externa de qualquer IP

var DNS_SERVERS $HOME_NET
# define os serviços executados para o Snort analisar o trafego

var SMTP_SERVERS &HOME_NET
# define SMTP

var TELNET_SERVERS $HOME_NET
# define a Telnet

var HTTP_PORTS 80
# define a porta HTTP

var SHELLCODE_PORTS !80
# define qualquer porta diferente da 80

var RULE_PATH ./rules
# define o diretório de regras

As regras sobre a área preprocessor definem assinaturas e strings. Tem que ser escolhidas individualmente.

Seguindo adiante digitaremos:

include $RULE_PATH/regra_a_usar.rules

Agora sim podemos iniciar o Snort, as man-pages e o famoso --help me ajudam muito, espero que ajudem a vocês também.

Limitaremo-nos, por hora, a iniciar o Snort com o comando:

# snort -D -c /etc/snort/snort.conf

Nós não tocamos nas configurações de log. Então está mantido o padrão, que é /var/log/snort.

Se tudo ocorreu bem, o Snort será listado ao se digitar o comando "ps aux" em um terminal qualquer. O /var/log/syslog vai te ajudar a resolver alguns problemas, basta você abrir ele com o tail.

# tail -f /var/log/syslog

Observe as mensagens enviadas ao log pelo sistema.

Abraços.

Espero que consiga instalar e configurar o Snort.

Qualquer dúvida entre em contato... valeu!

Outras dicas deste autor

Monitoramento de link de internet de servidores

Configuração de Whitelist e Blacklist no Zimbra

Troca de senha via browser usando chpasswd no FreeBSD

Instalando Samba4 no CentOS 7

Liberação de portas para e-mail

Leitura recomendada

Script gerador de senha

Instalando Tcptrack no Slackware 13

Bloqueando arquivos até para o root

Certificado SSL gratuito

Análise de malware com Pyew

Comentários

[1] Comentário enviado por flpe007 em 27/09/2007 - 12:47h

caso tenham dificuldade para instalar o "libpcap"...
apt-get libpcap\*
apt-get libpcap-dev

e também erá necessario o

"libpcer"

apt-get libpcer\*
apt-get libpcer-dev

depois é só instalar o snort!!!

Flw

0 0

[2] Comentário enviado por noiseand em 17/10/2008 - 17:40h

Ola!

Ao invés de "var SMTP_SERVERS &HOME_NET", o correto é
"var SMTP_SERVERS $HOME_NET".

Abçs

0 0

[3] Comentário enviado por etonp em 24/10/2013 - 11:14h

faço tudo certo mas quando chega na hora do make ele não executa, eu instalo o make mas ele não rola! vc sabe o que pode ser?
diz que nenhum make foi encontrado.
abrç

0 0