Com um firewall bem configurado, podemos colocar um pouco mais de segurança na nossa rede.

Baixar o código-fonte do Snort em www.snort.org. Recomendo instalar o Snort 2.0.0, mas tem versões mais atualizadas. Após baixar o Snort, leia o README e INSTALL, que se encontram no diretório /doc.

# tar xzvf snort-2.0.0.tar.gz
# cd snort-2.0.0
# vi doc/README
# vi doc/INSTALL

Será necessário a biblioteca libcap para que o Snort funcione corretamente. Tendo a biblioteca libpcap instalada, iremos para compilação do fonte.

# ./configure
# make
# make install

Com isso o Snort estará instalado. Para organizar vamos criar o diretório /etc/snort:

# mkdir /etc/snort

Dentro do código fonte do Snort, na pasta /etc, copie tudo que tem dentro dela para /etc/snort. Importante: Copie também as regras que ficam em /rules.

# pwd
/home/ch0wn/IDS/snort-2.0.0
# cp etc/ * /etc/snort
# cp -r rules / /etc/snort

Beleza. Feito isso nosso próximo passo é configurar o snort.conf, que está dentro de /etc/snort.

As regras sobre a área preprocessor definem assinaturas e strings. Tem que ser escolhidas individualmente.

Seguindo adiante digitaremos:

Agora sim podemos iniciar o Snort, as man-pages e o famoso --help me ajudam muito, espero que ajudem a vocês também.

Limitaremo-nos, por hora, a iniciar o Snort com o comando:

# snort -D -c /etc/snort/snort.conf

Nós não tocamos nas configurações de log. Então está mantido o padrão, que é /var/log/snort.

Se tudo ocorreu bem, o Snort será listado ao se digitar o comando "ps aux" em um terminal qualquer. O /var/log/syslog vai te ajudar a resolver alguns problemas, basta você abrir ele com o tail.

# tail -f /var/log/syslog

Observe as mensagens enviadas ao log pelo sistema.

Abraços.

Espero que consiga instalar e configurar o Snort.

Qualquer dúvida entre em contato... valeu!