Snort - The Open Source Network Intrusion Detection System

cvs

O Snort é uma sistema de IDS (Intrusion Detect System) que funciona tanto pra manter a segurança como para espiar o que se passa pela sua rede. É um prático sniffer que fica "farejando" a rede em busca de pacotes suspeitos e informa nos arquivos de log tudo o que está acontecendo.

[ Hits: 22.777 ]

Por: Thiago Alves em 20/10/2004 | Blog: http://www.seeufosseopresidente.com.br


Introdução



Nesse artigo vamos abordar uma simples forma de se instalar o Snort e deixá-lo rodando para ir verificando o que se passa na rede.

Ele vai funcionar da forma mais simples possível, sem interagir com nenhum outro programa.

Download do Snort


Você pode achar o Snort para se baixar no próprio site http://www.snort.org. Existe a versão 2.2.0 e a 2.1.3, neste artigo vamos usar a versão 2.2.0.

# wget -c http://www.snort.org/dl/snort-2.2.0.tar.gz

São aproximadamente 2MB, deve demorar um pouquinho dependendo da conexão.

Instalando o Snort


Com o tarball em mãos, digite os seguintes comandos:

# tar zxvf snort-2.2.0.tar.gz
# cd snort-2.2.0


Agora estamos prontos para instalar, certifique-se que você tenha a libpcap instalada, caso não tenha, baixe-a na seguinte URL:

# wget -c http://www.tcpdump.org/release/libpcap-0.8.3.tar.gz

Para instalar é simples:

# ./configure
# make
# make install
# ldconfig


Agora vamos continuar a instalação do Snort da forma simples:

# ./configure
# make
# make install


Vamos criar o diretório para que os logs sejam armazenados:

# mkdir /var/log/snort

Iniciando o Snort


Primeiro vamos arrumar o diretório do Snort pra gente poder usar a regras e o arquivo de configuração que vem nele próprio:

# mv snort-2.2.0 snort

Agora edite o snort/etc/snort.conf e descomente a seguinte linha:

output alert_syslog: LOG_AUTH LOG_ALERT

Agora vamos iniciar o Snort:

# snort -D -c snort/etc/snort.conf -A fast

Agora o Snort vai rodar como daemon e vai ficar logando todas as ocorrências no arquivo /var/log/snort/alert. Se por exemplo, alguém rodar um portscan no seu IP, você vai receber algumas mensagem no arquivo alert da seguinte maneira:

09/29-14:46:53.372042 [**] [1:1420:11] SNMP trap tcp [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:162
09/29-14:46:53.375268 [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:705
09/29-14:46:58.423072 [**] [1:1226:4] X11 xopen [**] [Classification: Unknown Traffic] [Priority: 3] {TCP} 192.168.1.100:41967 -> 192.168.1.2:6000
09/29-14:46:58.463005 [**] [1:1228:6] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39124 -> 192.168.1.2:1

Conclusões


Bom, agora o Snort já vai estar funcionando de forma satisfatória pra controlar o que está ocorrendo externamente contra o seu computador. Dessa maneira o Snort não estará funcionando com 100% de sua capacidade, mas vai ajudar um pouco.

Um simples artigo para aumentar o seu controle na rede. Com mais tempo vou escrevendo outros artigos ilustrando melhores formas de trabalhar com o Snort.

Para mais leituras, acesse o site do próprio programa: http://www.snort.org e leia a documentação. Dentro do source tem um diretório doc/ onde contém vários arquivos README ensinando outras formas de uso, as quais abordarei mais pra frente.

Espero ter ajudado um pouco mais e qualquer dúvida, erro ou correção, posta aí um comentário ou mande um e-mail pra gente dar um jeito de consertar.

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor

Slackpkg, uma ótima ferramenta para Slackware

ProFTPD + MySQL - Servidor FTP com usuários em banco de dados

Compilação distribuída usando o distcc

Sylpheed - a GTK+ based, lightweight, and fast e-mail client

Mozilla Firefox com plugins para Flash e JAVA

Leitura recomendada

Vazamento de informações vitais via "HP Operations Manager Perfd"

SELinux na prática

Entendendo o que é Engenharia Social

Aquisição Estática de Dados em Computação Forense

Autenticação de servidores CentOS/Red Hat 6 em Windows 2008

  
Comentários
[1] Comentário enviado por naoexistemais em 20/10/2004 - 02:39h

Caro cvs,

Esse artigo não tem novidade nenhuma, você poderia ter falado sobre ACID, Snort com Guardian, Snort com MySQL e etc.

Na boa apenas deveria ter incrementado com alguma ferramenta, falou.

0 0
[2] Comentário enviado por y2h4ck em 20/10/2004 - 11:12h

cvs,

garanto que o artigo irá ajudar ao pessoal que não tem conhecimento de ferramentas como snort a começar a analisar algumas possibilidades para aprender um pouco mais.

[]s


0 0
[3] Comentário enviado por cvs em 20/10/2004 - 11:45h

um artigo simples, pro pessoal que não sabe ou não conhece já ir conhecendo o snort, mas tá parecendo mais uma dica do que um artigo.

0 0
[4] Comentário enviado por bouncer em 20/10/2004 - 12:10h

que pode ser isso...aqui

ATAL ERROR: Unable to open rules file: snort/etc/snort.conf or snort/etc/snort/etc/snort.conf

0 0
[5] Comentário enviado por agk em 20/10/2004 - 12:13h

Bem a partir desse artigo já deu até vontade de instalar o snort.

0 0
[6] Comentário enviado por wronieri em 20/10/2004 - 14:36h

Artigo muito bom para quem sabia nada ou ja tinha ouvido falar mas nao tinha instalado.... cvs a partir destes vc poderia escrever , digamos, uma série de artigo relacionados ao snort tenho certeza que seriam muito bons, fica ai a sugestao.

0 0
[7] Comentário enviado por engos em 20/10/2004 - 17:25h

Hehehe, quer dizer que você também entrou na moda dos artigos dicas, neh? :)

Bem, acho que o pessoal já comentou o que eu queria falar... to na espera do próximo.

[]s

0 0
[8] Comentário enviado por naoexistemais em 20/10/2004 - 18:44h

Caramba Engos você só reclama, parece mulher grávida nunca esta contente e satisfeito com nada. Só falta você também reclamar dos meus artigos.....(risos).

0 0
[9] Comentário enviado por y2h4ck em 20/10/2004 - 19:03h

Bouncer o problema e que vc nao adicionou corretamente o path para os arquivos de regras do snort ... edite o seu snort.conf e corrija o path.

0 0
[10] Comentário enviado por tucs em 21/10/2004 - 10:34h

Artigos sobre Snort tem aos montes pela Web, e deveriam ser mencionados.

http://www.linuxsecurity.com.br/info/IDS/slackware_acid_fwsam_flexresp.pdf

http://www.underlinux.com.br/modules.php?name=Sections&op=viewarticle&artid=167

Mas ter uma noticia aki no VOL faz com que ninguem tenha que ir procurar em outro site, e estariamos atraindo mais visitantes.

Eduardo Assis

0 0
[11] Comentário enviado por Seph.Stalk em 29/04/2006 - 05:26h

Realmente ficou meio "vazio" o artigo.

Mas de qualquer forma, já é uma introdução, para quem não tem muito conhecimento de segurança, mas quer se aprofundar no assunto.

0 0
[12] Comentário enviado por lipecys em 20/02/2008 - 16:48h

Este artigo somado com o "Snort avançado" ficou excelente.
Parabéns.

0 0
[13] Comentário enviado por removido em 17/10/2009 - 09:19h

Artigo Legal, estou começando a estudar o SNORT agora, não tenho muito conhecimento dele mas ja ajuda.

0 0
[14] Comentário enviado por removido em 17/10/2009 - 22:41h

Snort, Porquinho Ninja.

0 0
[15] Comentário enviado por caradepastel em 18/11/2009 - 09:42h

muito legal falou pouco mas entendi tudo

0 0

Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

GNUGRAF 2019 (0)

Artigos

Certificação Eletrônica no Linux para PJe - Relato de minha experiência como advogado

Instalando Lamp Stack no Servidor Debian

Devo atender? Um ótimo aplicativo para bloquear Telemarketing

Packet Tracer 7 no Debian 10

Como Redimensionar o Guest à Janela no KVM com Virt-Manager

Dicas

Unite + Google Chrome - Corrigindo duplicidade dos botões de janela [Resolvido]

Bom Aplicativo Para Ler Mangá no Android

Resolvendo congelamentos no Gnome sobre Xorg

Máscara simples em JavaScript

Módulo de Segurança do BB no Debian 10 - Sem Frescuras

Tópicos

Como inicializo o LXTerminal no raspberrypi (7)

Classe controller não encontrada no JavaFX (0)

Não consigo criar um projeto com javafx [RESOLVIDO] (2)

O Jobs que eu não conhecia (12)

Como verificar autenticidade das Roms ? (5)

Top 10 do mês

Scripts

[Shell Script] Atualizar repositório no Linux desabilitando a hibernação do sistema

[Outros] Bubble Sort em Go

[C/C++] Aplicações em listas dinâmicas

[Shell Script] sync_local - backup/restauração local

[Shell Script] Automatizar a importação de chave privada GPG (GnuPG)