» Menu

» Últimos artigos

Recuperando sistema em mirror LVM 1 LMDE Xfce - Instalação, configuração e extras Linux com Java 1.7 + JBoss 7 VPN PPTP - Instalação entre estações Windows, Dispositivos com Android e CentOS 5.x Server Introdução a CGI com a RFC 3875 CrunchBang Backported - Instalação e Configuração

» Últimas dicas

ZTE V821: Android Dual Sim Forçando a montagem do sistema de arquivos e do disco rígido para corrigir problemas Criando e instalando DEB do XAMPP Redimensionando imagens com Nautilus-Image-Manipulator Qual distribuição Linux o iniciante deve usar? Considerações de um ex-usuário Windows Ubuntu 12.04 LTS - Instalando o Hamachi Ubuntu 12.04 LTS - Instalando o Remastersys FFmpeg - Como inserir Logo em vídeo

» Segurança Linux

[Dica] Pacote Oficial Linux LPI [Dica] Ghost Phisher - suite para ataques de phishing usando Fake DNS, DHCP e BLA, BLA, BLA...! ! ! [Artigo] samhain - verificador de integridade de filesystem [Notícia] pfSense 2 Cookbook [Dica] T50 Experimental Packet Injector Tool [Artigo] Honeypot: Aprendendo com o intruso [Notícia] Até 50% de desconto para as últimas vagas do treinamento Investigação Forense Digital da 4Linux.

» Últimos scripts

[Shell-Script] traduz_man - traduzir man pages [C/C++] Substituidor de letras [Python] Conexão de Roteadores CISCO [Shell-Script] Escrever números, datas, horas e outros por extenso [Shell-Script] Script simples de Backup para os diretórios listados abaixo do /

Intranet Open Source

Treinamento Zope Plone

» Destaques

28/05 - Palestra RJ: Django - um framework web para perfeccionistas co... (0) CloudConf LatAm 2012 (1) 04-06/06/2012 - Chamada para o IX Evidosol/VI Ciltec-online (0)

» Screenshot

Por cristian

» Login

» Top 10 usuários

6480469: Fábio Berbert de Paula 5650919: Alessandro de Oliveira Faria (A.K.A. CABELO) 2670906: Elgio Schlemer 2662191: Davidson Rodrigues Paulo 2559671: Xerxes Lins 2380931: Jefferson Estanislau da Silva 2310608: Percival F. Jr. 2229583: Cicero Juliao da Silva Junior 2118431: André L. (pinduvoz) 2092726: Edinaldo P. Silva

» Perguntas

phpMyAdmin e RADIUS (11) Quem será o CAMPEÃO da LIBERTADORES ? fácil kkk não será o timão. (46) Iptables (2) Nvidia FX 5200 no Sabayon não sobe interface [RESOLVIDO] (45) Internet cai quando conecto meu pc (0) Acessar servidor ssh com putty via proxy Microsoft ISA Server (2) Placa (P5VD2-X) vs Linux [RESOLVIDO] (1) Execução de script php no Linux! (7)

» .Conf

[Squid] squid.conf - Simples configuração do squid [backup-manager] backup-manager.conf - Configuração de backup simples com backup-mana... [Asterisk] asterisk.conf - Arquivo Configuração asterisk [iptables] firewall.sh - firewall.sh [mutt] muttrc - arquivo de configuração para o Mutt

Artigo

Snort - The Open Source Network Intrusion Detection System

cvs
20/10/2004

O Snort é uma sistema de IDS (Intrusion Detect System) que funciona tanto pra manter a segurança como para espiar o que se passa pela sua rede. É um prático sniffer que fica "farejando" a rede em busca de pacotes suspeitos e informa nos arquivos de log tudo o que está acontecendo.

Por: Thiago Alves | Blog: http://www.seeufosseopresidente.com.br

[ Hits: 16976 ]

Conceito: 7.4 5 voto(s)

+ quero dar nota ao artigo

Denuncie + Favoritos

Versão para impressora

Indicar para um amigo

Enviar artigo

Introdução

Nesse artigo vamos abordar uma simples forma de se instalar o Snort e deixá-lo rodando para ir verificando o que se passa na rede.

Ele vai funcionar da forma mais simples possível, sem interagir com nenhum outro programa.

Download do Snort

Você pode achar o Snort para se baixar no próprio site http://www.snort.org. Existe a versão 2.2.0 e a 2.1.3, neste artigo vamos usar a versão 2.2.0.

# wget -c http://www.snort.org/dl/snort-2.2.0.tar.gz

São aproximadamente 2MB, deve demorar um pouquinho dependendo da conexão.

Instalando o Snort

Com o tarball em mãos, digite os seguintes comandos:

# tar zxvf snort-2.2.0.tar.gz
# cd snort-2.2.0

Agora estamos prontos para instalar, certifique-se que você tenha a libpcap instalada, caso não tenha, baixe-a na seguinte URL:

# wget -c http://www.tcpdump.org/release/libpcap-0.8.3.tar.gz

Para instalar é simples:

# ./configure
# make
# make install
# ldconfig

Agora vamos continuar a instalação do Snort da forma simples:

# ./configure
# make
# make install

Vamos criar o diretório para que os logs sejam armazenados:

# mkdir /var/log/snort

Iniciando o Snort

Primeiro vamos arrumar o diretório do Snort pra gente poder usar a regras e o arquivo de configuração que vem nele próprio:

# mv snort-2.2.0 snort

Agora edite o snort/etc/snort.conf e descomente a seguinte linha:

output alert_syslog: LOG_AUTH LOG_ALERT

Agora vamos iniciar o Snort:

# snort -D -c snort/etc/snort.conf -A fast

Agora o Snort vai rodar como daemon e vai ficar logando todas as ocorrências no arquivo /var/log/snort/alert. Se por exemplo, alguém rodar um portscan no seu IP, você vai receber algumas mensagem no arquivo alert da seguinte maneira:

09/29-14:46:53.372042 [**] [1:1420:11] SNMP trap tcp [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:162
09/29-14:46:53.375268 [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:705
09/29-14:46:58.423072 [**] [1:1226:4] X11 xopen [**] [Classification: Unknown Traffic] [Priority: 3] {TCP} 192.168.1.100:41967 -> 192.168.1.2:6000
09/29-14:46:58.463005 [**] [1:1228:6] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39124 -> 192.168.1.2:1

Conclusões

Bom, agora o Snort já vai estar funcionando de forma satisfatória pra controlar o que está ocorrendo externamente contra o seu computador. Dessa maneira o Snort não estará funcionando com 100% de sua capacidade, mas vai ajudar um pouco.

Um simples artigo para aumentar o seu controle na rede. Com mais tempo vou escrevendo outros artigos ilustrando melhores formas de trabalhar com o Snort.

Para mais leituras, acesse o site do próprio programa: http://www.snort.org e leia a documentação. Dentro do source tem um diretório doc/ onde contém vários arquivos README ensinando outras formas de uso, as quais abordarei mais pra frente.

Espero ter ajudado um pouco mais e qualquer dúvida, erro ou correção, posta aí um comentário ou mande um e-mail pra gente dar um jeito de consertar.

[1] Comentário enviado por naoexistemais em 20/10/2004 - 02:39h:

Caro cvs,

Esse artigo não tem novidade nenhuma, você poderia ter falado sobre ACID, Snort com Guardian, Snort com MySQL e etc.

Na boa apenas deveria ter incrementado com alguma ferramenta, falou.

[2] Comentário enviado por y2h4ck em 20/10/2004 - 11:12h:

cvs,

garanto que o artigo irá ajudar ao pessoal que não tem conhecimento de ferramentas como snort a começar a analisar algumas possibilidades para aprender um pouco mais.

[]s

[3] Comentário enviado por cvs em 20/10/2004 - 11:45h:

um artigo simples, pro pessoal que não sabe ou não conhece já ir conhecendo o snort, mas tá parecendo mais uma dica do que um artigo.

[4] Comentário enviado por bouncer em 20/10/2004 - 12:10h:

que pode ser isso...aqui

ATAL ERROR: Unable to open rules file: snort/etc/snort.conf or snort/etc/snort/etc/snort.conf

[5] Comentário enviado por agk em 20/10/2004 - 12:13h:

Bem a partir desse artigo já deu até vontade de instalar o snort.

[6] Comentário enviado por wronieri em 20/10/2004 - 14:36h:

Artigo muito bom para quem sabia nada ou ja tinha ouvido falar mas nao tinha instalado.... cvs a partir destes vc poderia escrever , digamos, uma série de artigo relacionados ao snort tenho certeza que seriam muito bons, fica ai a sugestao.

[7] Comentário enviado por engos em 20/10/2004 - 17:25h:

Hehehe, quer dizer que você também entrou na moda dos artigos dicas, neh? :)

Bem, acho que o pessoal já comentou o que eu queria falar... to na espera do próximo.

[]s

[8] Comentário enviado por naoexistemais em 20/10/2004 - 18:44h:

Caramba Engos você só reclama, parece mulher grávida nunca esta contente e satisfeito com nada. Só falta você também reclamar dos meus artigos.....(risos).

[9] Comentário enviado por y2h4ck em 20/10/2004 - 19:03h:

Bouncer o problema e que vc nao adicionou corretamente o path para os arquivos de regras do snort ... edite o seu snort.conf e corrija o path.

[10] Comentário enviado por tucs em 21/10/2004 - 10:34h:

Artigos sobre Snort tem aos montes pela Web, e deveriam ser mencionados.

http://www.linuxsecurity.com.br/info/IDS/slackware_acid_fwsam_flexresp.pdf

http://www.underlinux.com.br/modules.php?name=Sections&op=viewarticle&artid=167

Mas ter uma noticia aki no VOL faz com que ninguem tenha que ir procurar em outro site, e estariamos atraindo mais visitantes.

Eduardo Assis

[11] Comentário enviado por Seph.Stalk em 29/04/2006 - 05:26h:

Realmente ficou meio "vazio" o artigo.

Mas de qualquer forma, já é uma introdução, para quem não tem muito conhecimento de segurança, mas quer se aprofundar no assunto.

[12] Comentário enviado por lipecys em 20/02/2008 - 16:48h:

Este artigo somado com o "Snort avançado" ficou excelente.
Parabéns.

[13] Comentário enviado por removido em 17/10/2009 - 09:19h:

Artigo Legal, estou começando a estudar o SNORT agora, não tenho muito conhecimento dele mas ja ajuda.

[14] Comentário enviado por removido em 17/10/2009 - 22:41h:

Snort, Porquinho Ninja.

[15] Comentário enviado por caradepastel em 18/11/2009 - 09:42h:

muito legal falou pouco mas entendi tudo