Snort - The Open Source Network Intrusion Detection System

cvs

O Snort é uma sistema de IDS (Intrusion Detect System) que funciona tanto pra manter a segurança como para espiar o que se passa pela sua rede. É um prático sniffer que fica "farejando" a rede em busca de pacotes suspeitos e informa nos arquivos de log tudo o que está acontecendo.

[ Hits: 22.691 ]

Por: Thiago Alves em 20/10/2004 | Blog: http://www.seeufosseopresidente.com.br

0 0

Denuncie Favoritos Indicar Impressora

Introdução

Nesse artigo vamos abordar uma simples forma de se instalar o Snort e deixá-lo rodando para ir verificando o que se passa na rede.

Ele vai funcionar da forma mais simples possível, sem interagir com nenhum outro programa.

Download do Snort

Você pode achar o Snort para se baixar no próprio site http://www.snort.org. Existe a versão 2.2.0 e a 2.1.3, neste artigo vamos usar a versão 2.2.0.

# wget -c http://www.snort.org/dl/snort-2.2.0.tar.gz

São aproximadamente 2MB, deve demorar um pouquinho dependendo da conexão.

Instalando o Snort

Com o tarball em mãos, digite os seguintes comandos:

# tar zxvf snort-2.2.0.tar.gz
# cd snort-2.2.0

Agora estamos prontos para instalar, certifique-se que você tenha a libpcap instalada, caso não tenha, baixe-a na seguinte URL:

# wget -c http://www.tcpdump.org/release/libpcap-0.8.3.tar.gz

Para instalar é simples:

# ./configure
# make
# make install
# ldconfig

Agora vamos continuar a instalação do Snort da forma simples:

# ./configure
# make
# make install

Vamos criar o diretório para que os logs sejam armazenados:

# mkdir /var/log/snort

Iniciando o Snort

Primeiro vamos arrumar o diretório do Snort pra gente poder usar a regras e o arquivo de configuração que vem nele próprio:

# mv snort-2.2.0 snort

Agora edite o snort/etc/snort.conf e descomente a seguinte linha:

output alert_syslog: LOG_AUTH LOG_ALERT

Agora vamos iniciar o Snort:

# snort -D -c snort/etc/snort.conf -A fast

Agora o Snort vai rodar como daemon e vai ficar logando todas as ocorrências no arquivo /var/log/snort/alert. Se por exemplo, alguém rodar um portscan no seu IP, você vai receber algumas mensagem no arquivo alert da seguinte maneira:

09/29-14:46:53.372042 [**] [1:1420:11] SNMP trap tcp [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:162
09/29-14:46:53.375268 [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:705
09/29-14:46:58.423072 [**] [1:1226:4] X11 xopen [**] [Classification: Unknown Traffic] [Priority: 3] {TCP} 192.168.1.100:41967 -> 192.168.1.2:6000
09/29-14:46:58.463005 [**] [1:1228:6] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39124 -> 192.168.1.2:1

Conclusões

Bom, agora o Snort já vai estar funcionando de forma satisfatória pra controlar o que está ocorrendo externamente contra o seu computador. Dessa maneira o Snort não estará funcionando com 100% de sua capacidade, mas vai ajudar um pouco.

Um simples artigo para aumentar o seu controle na rede. Com mais tempo vou escrevendo outros artigos ilustrando melhores formas de trabalhar com o Snort.

Para mais leituras, acesse o site do próprio programa: http://www.snort.org e leia a documentação. Dentro do source tem um diretório doc/ onde contém vários arquivos README ensinando outras formas de uso, as quais abordarei mais pra frente.

Espero ter ajudado um pouco mais e qualquer dúvida, erro ou correção, posta aí um comentário ou mande um e-mail pra gente dar um jeito de consertar.

Páginas do artigo

1. Introdução

Outros artigos deste autor

Kernel 2.6 hacks

Compilando Apache 2 com PHP, MySQL, mod_perl e mod_ssl

Servidor Web com NetBSD (Apache + PHP + MySQL + *)

Aplicando o patch do grsecurity no kernel 2.4

ProFTPD + MySQL - Servidor FTP com usuários em banco de dados

Leitura recomendada

Bom escudo não teme espada: o módulo pam_cracklib

Autenticação via hardware: o módulo pam_blue

Servidor Samba "Autoservice"

Definição de hacker

OpenPGP - Tradução da man page

Comentários

[1] Comentário enviado por naoexistemais em 20/10/2004 - 02:39h

Caro cvs,

Esse artigo não tem novidade nenhuma, você poderia ter falado sobre ACID, Snort com Guardian, Snort com MySQL e etc.

Na boa apenas deveria ter incrementado com alguma ferramenta, falou.

0 0

[2] Comentário enviado por y2h4ck em 20/10/2004 - 11:12h

cvs,

garanto que o artigo irá ajudar ao pessoal que não tem conhecimento de ferramentas como snort a começar a analisar algumas possibilidades para aprender um pouco mais.

[]s

0 0

[3] Comentário enviado por cvs em 20/10/2004 - 11:45h

um artigo simples, pro pessoal que não sabe ou não conhece já ir conhecendo o snort, mas tá parecendo mais uma dica do que um artigo.

0 0

[4] Comentário enviado por bouncer em 20/10/2004 - 12:10h

que pode ser isso...aqui

ATAL ERROR: Unable to open rules file: snort/etc/snort.conf or snort/etc/snort/etc/snort.conf

0 0

[5] Comentário enviado por agk em 20/10/2004 - 12:13h

Bem a partir desse artigo já deu até vontade de instalar o snort.

0 0

[6] Comentário enviado por wronieri em 20/10/2004 - 14:36h

Artigo muito bom para quem sabia nada ou ja tinha ouvido falar mas nao tinha instalado.... cvs a partir destes vc poderia escrever , digamos, uma série de artigo relacionados ao snort tenho certeza que seriam muito bons, fica ai a sugestao.

0 0

[7] Comentário enviado por engos em 20/10/2004 - 17:25h

Hehehe, quer dizer que você também entrou na moda dos artigos dicas, neh? :)

Bem, acho que o pessoal já comentou o que eu queria falar... to na espera do próximo.

[]s

0 0

[8] Comentário enviado por naoexistemais em 20/10/2004 - 18:44h

Caramba Engos você só reclama, parece mulher grávida nunca esta contente e satisfeito com nada. Só falta você também reclamar dos meus artigos.....(risos).

0 0

[9] Comentário enviado por y2h4ck em 20/10/2004 - 19:03h

Bouncer o problema e que vc nao adicionou corretamente o path para os arquivos de regras do snort ... edite o seu snort.conf e corrija o path.

0 0

[10] Comentário enviado por tucs em 21/10/2004 - 10:34h

Artigos sobre Snort tem aos montes pela Web, e deveriam ser mencionados.

http://www.linuxsecurity.com.br/info/IDS/slackware_acid_fwsam_flexresp.pdf

http://www.underlinux.com.br/modules.php?name=Sections&op=viewarticle&artid=167

Mas ter uma noticia aki no VOL faz com que ninguem tenha que ir procurar em outro site, e estariamos atraindo mais visitantes.

Eduardo Assis

0 0

[11] Comentário enviado por Seph.Stalk em 29/04/2006 - 05:26h

Realmente ficou meio "vazio" o artigo.

Mas de qualquer forma, já é uma introdução, para quem não tem muito conhecimento de segurança, mas quer se aprofundar no assunto.

0 0

[12] Comentário enviado por lipecys em 20/02/2008 - 16:48h

Este artigo somado com o "Snort avançado" ficou excelente.
Parabéns.

0 0

[13] Comentário enviado por removido em 17/10/2009 - 09:19h

Artigo Legal, estou começando a estudar o SNORT agora, não tenho muito conhecimento dele mas ja ajuda.

0 0

[14] Comentário enviado por removido em 17/10/2009 - 22:41h

Snort, Porquinho Ninja.

0 0

[15] Comentário enviado por caradepastel em 18/11/2009 - 09:42h

muito legal falou pouco mas entendi tudo

0 0

Snort - The Open Source Network Intrusion Detection System

Introdução

Download do Snort

Instalando o Snort

Iniciando o Snort

Conclusões

Contribuir com comentário

Patrocínio

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts