Snort - The Open Source Network Intrusion Detection System
O Snort é uma sistema de IDS (Intrusion Detect System) que funciona tanto pra manter a segurança como para espiar o que se passa pela sua rede. É um prático sniffer que fica "farejando" a rede em busca de pacotes suspeitos e informa nos arquivos de log tudo o que está acontecendo.
[ Hits: 23.752 ]
Por: Thiago Alves em 20/10/2004 | Blog: http://www.seeufosseopresidente.com.br
Introdução
Nesse artigo vamos abordar uma simples forma de se instalar o Snort e deixá-lo rodando para ir verificando o que se passa na rede.
Ele vai funcionar da forma mais simples possível, sem interagir com nenhum outro programa.
Download do Snort
Você pode achar o Snort para se baixar no próprio site http://www.snort.org. Existe a versão 2.2.0 e a 2.1.3, neste artigo vamos usar a versão 2.2.0.
# wget -c http://www.snort.org/dl/snort-2.2.0.tar.gz
São aproximadamente 2MB, deve demorar um pouquinho dependendo da conexão.
Instalando o Snort
Com o tarball em mãos, digite os seguintes comandos:
# tar zxvf snort-2.2.0.tar.gz
# cd snort-2.2.0
Agora estamos prontos para instalar, certifique-se que você tenha a libpcap instalada, caso não tenha, baixe-a na seguinte URL:
# wget -c http://www.tcpdump.org/release/libpcap-0.8.3.tar.gz
Para instalar é simples:
# ./configure
# make
# make install
# ldconfig
Agora vamos continuar a instalação do Snort da forma simples:
# ./configure
# make
# make install
Vamos criar o diretório para que os logs sejam armazenados:
# mkdir /var/log/snort
Iniciando o Snort
Primeiro vamos arrumar o diretório do Snort pra gente poder usar a regras e o arquivo de configuração que vem nele próprio:
# mv snort-2.2.0 snort
Agora edite o snort/etc/snort.conf e descomente a seguinte linha:
Agora vamos iniciar o Snort:
# snort -D -c snort/etc/snort.conf -A fast
Agora o Snort vai rodar como daemon e vai ficar logando todas as ocorrências no arquivo /var/log/snort/alert. Se por exemplo, alguém rodar um portscan no seu IP, você vai receber algumas mensagem no arquivo alert da seguinte maneira:
09/29-14:46:53.372042 [**] [1:1420:11] SNMP trap tcp [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:162
09/29-14:46:53.375268 [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:705
09/29-14:46:58.423072 [**] [1:1226:4] X11 xopen [**] [Classification: Unknown Traffic] [Priority: 3] {TCP} 192.168.1.100:41967 -> 192.168.1.2:6000
09/29-14:46:58.463005 [**] [1:1228:6] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39124 -> 192.168.1.2:1
Conclusões
Bom, agora o Snort já vai estar funcionando de forma satisfatória pra controlar o que está ocorrendo externamente contra o seu computador. Dessa maneira o Snort não estará funcionando com 100% de sua capacidade, mas vai ajudar um pouco.
Um simples artigo para aumentar o seu controle na rede. Com mais tempo vou escrevendo outros artigos ilustrando melhores formas de trabalhar com o Snort.
Para mais leituras, acesse o site do próprio programa: http://www.snort.org e leia a documentação. Dentro do source tem um diretório doc/ onde contém vários arquivos README ensinando outras formas de uso, as quais abordarei mais pra frente.
Espero ter ajudado um pouco mais e qualquer dúvida, erro ou correção, posta aí um comentário ou mande um e-mail pra gente dar um jeito de consertar.
Páginas do artigo
1. IntroduçãoOutros artigos deste autor
Slackware com kernel 2.6.10 - passo a passo
OpenBSD IDS - Solução Snort e BASE
Gcombust, um frontend para cdrecord
Incremente o iptables com patch-o-matic
Leitura recomendada
Servidor de autenticação 802.1x com Freeradius
Tripwire - Checando a integridade do sistema
Cliente "automágico" Linux logando no domínio NT/Samba
Usando e instalando o Nessus no Linux
Comentários
[1] Comentário enviado por naoexistemais em 20/10/2004 - 02:39h
Caro cvs,
Esse artigo não tem novidade nenhuma, você poderia ter falado sobre ACID, Snort com Guardian, Snort com MySQL e etc.
Na boa apenas deveria ter incrementado com alguma ferramenta, falou.
Caro cvs,
Esse artigo não tem novidade nenhuma, você poderia ter falado sobre ACID, Snort com Guardian, Snort com MySQL e etc.
Na boa apenas deveria ter incrementado com alguma ferramenta, falou.
[2] Comentário enviado por y2h4ck em 20/10/2004 - 11:12h
cvs,
garanto que o artigo irá ajudar ao pessoal que não tem conhecimento de ferramentas como snort a começar a analisar algumas possibilidades para aprender um pouco mais.
[]s
cvs,
garanto que o artigo irá ajudar ao pessoal que não tem conhecimento de ferramentas como snort a começar a analisar algumas possibilidades para aprender um pouco mais.
[]s
[3] Comentário enviado por cvs em 20/10/2004 - 11:45h
um artigo simples, pro pessoal que não sabe ou não conhece já ir conhecendo o snort, mas tá parecendo mais uma dica do que um artigo.
um artigo simples, pro pessoal que não sabe ou não conhece já ir conhecendo o snort, mas tá parecendo mais uma dica do que um artigo.
[4] Comentário enviado por bouncer em 20/10/2004 - 12:10h
que pode ser isso...aqui
ATAL ERROR: Unable to open rules file: snort/etc/snort.conf or snort/etc/snort/etc/snort.conf
que pode ser isso...aqui
ATAL ERROR: Unable to open rules file: snort/etc/snort.conf or snort/etc/snort/etc/snort.conf
[5] Comentário enviado por agk em 20/10/2004 - 12:13h
Bem a partir desse artigo já deu até vontade de instalar o snort.
Bem a partir desse artigo já deu até vontade de instalar o snort.
[6] Comentário enviado por wronieri em 20/10/2004 - 14:36h
Artigo muito bom para quem sabia nada ou ja tinha ouvido falar mas nao tinha instalado.... cvs a partir destes vc poderia escrever , digamos, uma série de artigo relacionados ao snort tenho certeza que seriam muito bons, fica ai a sugestao.
Artigo muito bom para quem sabia nada ou ja tinha ouvido falar mas nao tinha instalado.... cvs a partir destes vc poderia escrever , digamos, uma série de artigo relacionados ao snort tenho certeza que seriam muito bons, fica ai a sugestao.
[7] Comentário enviado por engos em 20/10/2004 - 17:25h
Hehehe, quer dizer que você também entrou na moda dos artigos dicas, neh? :)
Bem, acho que o pessoal já comentou o que eu queria falar... to na espera do próximo.
[]s
Hehehe, quer dizer que você também entrou na moda dos artigos dicas, neh? :)
Bem, acho que o pessoal já comentou o que eu queria falar... to na espera do próximo.
[]s
[8] Comentário enviado por naoexistemais em 20/10/2004 - 18:44h
Caramba Engos você só reclama, parece mulher grávida nunca esta contente e satisfeito com nada. Só falta você também reclamar dos meus artigos.....(risos).
Caramba Engos você só reclama, parece mulher grávida nunca esta contente e satisfeito com nada. Só falta você também reclamar dos meus artigos.....(risos).
[9] Comentário enviado por y2h4ck em 20/10/2004 - 19:03h
Bouncer o problema e que vc nao adicionou corretamente o path para os arquivos de regras do snort ... edite o seu snort.conf e corrija o path.
Bouncer o problema e que vc nao adicionou corretamente o path para os arquivos de regras do snort ... edite o seu snort.conf e corrija o path.
[10] Comentário enviado por tucs em 21/10/2004 - 10:34h
Artigos sobre Snort tem aos montes pela Web, e deveriam ser mencionados.
http://www.linuxsecurity.com.br/info/IDS/slackware_acid_fwsam_flexresp.pdf
http://www.underlinux.com.br/modules.php?name=Sections&op=viewarticle&artid=167
Mas ter uma noticia aki no VOL faz com que ninguem tenha que ir procurar em outro site, e estariamos atraindo mais visitantes.
Eduardo Assis
Artigos sobre Snort tem aos montes pela Web, e deveriam ser mencionados.
http://www.linuxsecurity.com.br/info/IDS/slackware_acid_fwsam_flexresp.pdf
http://www.underlinux.com.br/modules.php?name=Sections&op=viewarticle&artid=167
Mas ter uma noticia aki no VOL faz com que ninguem tenha que ir procurar em outro site, e estariamos atraindo mais visitantes.
Eduardo Assis
[11] Comentário enviado por Seph.Stalk em 29/04/2006 - 05:26h
Realmente ficou meio "vazio" o artigo.
Mas de qualquer forma, já é uma introdução, para quem não tem muito conhecimento de segurança, mas quer se aprofundar no assunto.
Realmente ficou meio "vazio" o artigo.
Mas de qualquer forma, já é uma introdução, para quem não tem muito conhecimento de segurança, mas quer se aprofundar no assunto.
[12] Comentário enviado por lipecys em 20/02/2008 - 16:48h
Este artigo somado com o "Snort avançado" ficou excelente.
Parabéns.
Este artigo somado com o "Snort avançado" ficou excelente.
Parabéns.
[13] Comentário enviado por removido em 17/10/2009 - 09:19h
Artigo Legal, estou começando a estudar o SNORT agora, não tenho muito conhecimento dele mas ja ajuda.
Artigo Legal, estou começando a estudar o SNORT agora, não tenho muito conhecimento dele mas ja ajuda.
[15] Comentário enviado por caradepastel em 18/11/2009 - 09:42h
muito legal falou pouco mas entendi tudo
muito legal falou pouco mas entendi tudo
