Snort - Instalação e configuração

Publicado por Smurf em 23/08/2006

[ Hits: 29.797 ]

 


Snort - Instalação e configuração



Com um firewall bem configurado, podemos colocar um pouco mais de segurança na nossa rede.

Baixar o código-fonte do Snort em www.snort.org. Recomendo instalar o Snort 2.0.0, mas tem versões mais atualizadas. Após baixar o Snort, leia o README e INSTALL, que se encontram no diretório /doc.

# tar xzvf snort-2.0.0.tar.gz
# cd snort-2.0.0
# vi doc/README
# vi doc/INSTALL


Será necessário a biblioteca libcap para que o Snort funcione corretamente. Tendo a biblioteca libpcap instalada, iremos para compilação do fonte.

# ./configure
# make
# make install


Com isso o Snort estará instalado. Para organizar vamos criar o diretório /etc/snort:

# mkdir /etc/snort

Dentro do código fonte do Snort, na pasta /etc, copie tudo que tem dentro dela para /etc/snort. Importante: Copie também as regras que ficam em /rules.

# pwd
/home/ch0wn/IDS/snort-2.0.0
# cp etc/ * /etc/snort
# cp -r rules / /etc/snort


Beleza. Feito isso nosso próximo passo é configurar o snort.conf, que está dentro de /etc/snort.

var HOME_NET $ppp0_ADDRESS
# para quem esta usando conexão discada

var EXTERNAL_NET any
# define a rede externa de qualquer IP

var DNS_SERVERS $HOME_NET
# define os serviços executados para o Snort analisar o trafego

var SMTP_SERVERS &HOME_NET
# define SMTP

var TELNET_SERVERS $HOME_NET
# define a Telnet

var HTTP_PORTS 80
# define a porta HTTP

var SHELLCODE_PORTS !80
# define qualquer porta diferente da 80

var RULE_PATH ./rules
# define o diretório de regras

As regras sobre a área preprocessor definem assinaturas e strings. Tem que ser escolhidas individualmente.

Seguindo adiante digitaremos:

include $RULE_PATH/regra_a_usar.rules

Agora sim podemos iniciar o Snort, as man-pages e o famoso --help me ajudam muito, espero que ajudem a vocês também.

Limitaremo-nos, por hora, a iniciar o Snort com o comando:

# snort -D -c /etc/snort/snort.conf

Nós não tocamos nas configurações de log. Então está mantido o padrão, que é /var/log/snort.

Se tudo ocorreu bem, o Snort será listado ao se digitar o comando "ps aux" em um terminal qualquer. O /var/log/syslog vai te ajudar a resolver alguns problemas, basta você abrir ele com o tail.

# tail -f /var/log/syslog

Observe as mensagens enviadas ao log pelo sistema.

Abraços.

Espero que consiga instalar e configurar o Snort.

Qualquer dúvida entre em contato... valeu!

Outras dicas deste autor

Instalação do Squid no FreeBSD

Evintando envios de ping para o servidor

Derrubando conexões

Instalando WLan no Compaq Presario C730BR

Bloqueando e permitindo Skype pelo Squid

Leitura recomendada

Bloquear Ultra Surf pelo firewall Linux

Aumenta sua segurança com o LPS-Linux

zuluCrypt no Debian 8 Jessie - Criptografia

Visão geral do Nmap

SqStat - Monitorando logs do Squid em tempo real!!!

  

Comentários
[1] Comentário enviado por flpe007 em 27/09/2007 - 12:47h

caso tenham dificuldade para instalar o "libpcap"...
apt-get libpcap\*
apt-get libpcap-dev

e também erá necessario o

"libpcer"

apt-get libpcer\*
apt-get libpcer-dev

depois é só instalar o snort!!!

Flw

[2] Comentário enviado por noiseand em 17/10/2008 - 17:40h

Ola!

Ao invés de "var SMTP_SERVERS &HOME_NET", o correto é
"var SMTP_SERVERS $HOME_NET".

Abçs

[3] Comentário enviado por etonp em 24/10/2013 - 11:14h

faço tudo certo mas quando chega na hora do make ele não executa, eu instalo o make mas ele não rola! vc sabe o que pode ser?
diz que nenhum make foi encontrado.
abrç



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts