Snort - The Open Source Network Intrusion Detection System

cvs

O Snort é uma sistema de IDS (Intrusion Detect System) que funciona tanto pra manter a segurança como para espiar o que se passa pela sua rede. É um prático sniffer que fica "farejando" a rede em busca de pacotes suspeitos e informa nos arquivos de log tudo o que está acontecendo.

[ Hits: 24.516 ]

Por: Thiago Alves em 20/10/2004 | Blog: http://www.seeufosseopresidente.com.br


Introdução



Nesse artigo vamos abordar uma simples forma de se instalar o Snort e deixá-lo rodando para ir verificando o que se passa na rede.

Ele vai funcionar da forma mais simples possível, sem interagir com nenhum outro programa.

Download do Snort


Você pode achar o Snort para se baixar no próprio site http://www.snort.org. Existe a versão 2.2.0 e a 2.1.3, neste artigo vamos usar a versão 2.2.0.

# wget -c http://www.snort.org/dl/snort-2.2.0.tar.gz

São aproximadamente 2MB, deve demorar um pouquinho dependendo da conexão.

Instalando o Snort


Com o tarball em mãos, digite os seguintes comandos:

# tar zxvf snort-2.2.0.tar.gz
# cd snort-2.2.0


Agora estamos prontos para instalar, certifique-se que você tenha a libpcap instalada, caso não tenha, baixe-a na seguinte URL:

# wget -c http://www.tcpdump.org/release/libpcap-0.8.3.tar.gz

Para instalar é simples:

# ./configure
# make
# make install
# ldconfig


Agora vamos continuar a instalação do Snort da forma simples:

# ./configure
# make
# make install


Vamos criar o diretório para que os logs sejam armazenados:

# mkdir /var/log/snort

Iniciando o Snort


Primeiro vamos arrumar o diretório do Snort pra gente poder usar a regras e o arquivo de configuração que vem nele próprio:

# mv snort-2.2.0 snort

Agora edite o snort/etc/snort.conf e descomente a seguinte linha:

output alert_syslog: LOG_AUTH LOG_ALERT

Agora vamos iniciar o Snort:

# snort -D -c snort/etc/snort.conf -A fast

Agora o Snort vai rodar como daemon e vai ficar logando todas as ocorrências no arquivo /var/log/snort/alert. Se por exemplo, alguém rodar um portscan no seu IP, você vai receber algumas mensagem no arquivo alert da seguinte maneira:

09/29-14:46:53.372042 [**] [1:1420:11] SNMP trap tcp [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:162
09/29-14:46:53.375268 [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:705
09/29-14:46:58.423072 [**] [1:1226:4] X11 xopen [**] [Classification: Unknown Traffic] [Priority: 3] {TCP} 192.168.1.100:41967 -> 192.168.1.2:6000
09/29-14:46:58.463005 [**] [1:1228:6] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39124 -> 192.168.1.2:1

Conclusões


Bom, agora o Snort já vai estar funcionando de forma satisfatória pra controlar o que está ocorrendo externamente contra o seu computador. Dessa maneira o Snort não estará funcionando com 100% de sua capacidade, mas vai ajudar um pouco.

Um simples artigo para aumentar o seu controle na rede. Com mais tempo vou escrevendo outros artigos ilustrando melhores formas de trabalhar com o Snort.

Para mais leituras, acesse o site do próprio programa: http://www.snort.org e leia a documentação. Dentro do source tem um diretório doc/ onde contém vários arquivos README ensinando outras formas de uso, as quais abordarei mais pra frente.

Espero ter ajudado um pouco mais e qualquer dúvida, erro ou correção, posta aí um comentário ou mande um e-mail pra gente dar um jeito de consertar.

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor

Mozilla Firefox com plugins para Flash e JAVA

Compilando Apache 2 com PHP, MySQL, mod_perl e mod_ssl

Gaim + Gaim Encryption - Bate-papo com segurança

Apache2 + PHP + PostgreSQL + phpPgAdmin

CentOS e LVM

Leitura recomendada

Instalando a nova versão do HLBR - IPS invisível

OpenPGP - Tradução da man page

IPtables e seus módulos

Prey Project - Localizando seu notebook roubado

Desvendando código malicioso no fórum Viva o Linux

  
Comentários
[1] Comentário enviado por naoexistemais em 20/10/2004 - 02:39h

Caro cvs,

Esse artigo não tem novidade nenhuma, você poderia ter falado sobre ACID, Snort com Guardian, Snort com MySQL e etc.

Na boa apenas deveria ter incrementado com alguma ferramenta, falou.

0 0
[2] Comentário enviado por y2h4ck em 20/10/2004 - 11:12h

cvs,

garanto que o artigo irá ajudar ao pessoal que não tem conhecimento de ferramentas como snort a começar a analisar algumas possibilidades para aprender um pouco mais.

[]s


0 0
[3] Comentário enviado por cvs em 20/10/2004 - 11:45h

um artigo simples, pro pessoal que não sabe ou não conhece já ir conhecendo o snort, mas tá parecendo mais uma dica do que um artigo.

0 0
[4] Comentário enviado por bouncer em 20/10/2004 - 12:10h

que pode ser isso...aqui

ATAL ERROR: Unable to open rules file: snort/etc/snort.conf or snort/etc/snort/etc/snort.conf

0 0
[5] Comentário enviado por agk em 20/10/2004 - 12:13h

Bem a partir desse artigo já deu até vontade de instalar o snort.

0 0
[6] Comentário enviado por wronieri em 20/10/2004 - 14:36h

Artigo muito bom para quem sabia nada ou ja tinha ouvido falar mas nao tinha instalado.... cvs a partir destes vc poderia escrever , digamos, uma série de artigo relacionados ao snort tenho certeza que seriam muito bons, fica ai a sugestao.

0 0
[7] Comentário enviado por engos em 20/10/2004 - 17:25h

Hehehe, quer dizer que você também entrou na moda dos artigos dicas, neh? :)

Bem, acho que o pessoal já comentou o que eu queria falar... to na espera do próximo.

[]s

0 0
[8] Comentário enviado por naoexistemais em 20/10/2004 - 18:44h

Caramba Engos você só reclama, parece mulher grávida nunca esta contente e satisfeito com nada. Só falta você também reclamar dos meus artigos.....(risos).

0 0
[9] Comentário enviado por y2h4ck em 20/10/2004 - 19:03h

Bouncer o problema e que vc nao adicionou corretamente o path para os arquivos de regras do snort ... edite o seu snort.conf e corrija o path.

0 0
[10] Comentário enviado por tucs em 21/10/2004 - 10:34h

Artigos sobre Snort tem aos montes pela Web, e deveriam ser mencionados.

http://www.linuxsecurity.com.br/info/IDS/slackware_acid_fwsam_flexresp.pdf

http://www.underlinux.com.br/modules.php?name=Sections&op=viewarticle&artid=167

Mas ter uma noticia aki no VOL faz com que ninguem tenha que ir procurar em outro site, e estariamos atraindo mais visitantes.

Eduardo Assis

0 0
[11] Comentário enviado por Seph.Stalk em 29/04/2006 - 05:26h

Realmente ficou meio "vazio" o artigo.

Mas de qualquer forma, já é uma introdução, para quem não tem muito conhecimento de segurança, mas quer se aprofundar no assunto.

0 0
[12] Comentário enviado por lipecys em 20/02/2008 - 16:48h

Este artigo somado com o "Snort avançado" ficou excelente.
Parabéns.

0 0
[13] Comentário enviado por removido em 17/10/2009 - 09:19h

Artigo Legal, estou começando a estudar o SNORT agora, não tenho muito conhecimento dele mas ja ajuda.

0 0
[14] Comentário enviado por removido em 17/10/2009 - 22:41h

Snort, Porquinho Ninja.

0 0
[15] Comentário enviado por caradepastel em 18/11/2009 - 09:42h

muito legal falou pouco mas entendi tudo

0 0

Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Atenção a quem posta conteúdo de dicas, scripts e tal (6)

Agora temos uma assistente virtual no fórum!!! (246)

Links importantes de usuários do VOL (3)

Artigos

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

O mínimo que você precisa saber sobre o terminal (parte 2)

O mínimo que você precisa saber sobre o terminal (parte 1)

Como iniciar uma máquina virtual do VirtualBox automaticamente no boot do LUbuntu 18 LTS

Dicas

Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2

Como deixar as abas do Firefox mais fininhas

Mudar o gerenciador de login (GDM para SDDM)

"Tentando" fazer com que programas rodem no Wayland e no X11

Saiu o Gnome 47 sem muito alarde com mais do mesmo

Tópicos

Erro Problema com instalação de Endian Firewall em novo computador. pl... (2)

como ativo o touchscreen no meu chromeos hp pro c640? (3)

Não consigo baixar Minecraft (3)

Descoberta de Rede [RESOLVIDO] (8)

Adaptador USB WiFi5 DualBand 1300 WiFI AC1300 (Realtek Semiconductor C... (0)

Top 10 do mês

Scripts

[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[Shell Script] Script para adicionar bordas às imagens de uma pasta

[Shell Script] Telegram direto do site

[Shell Script] Pós-instalação do openSUSE Tumbleweed