Snort - Instalação e configuração

Publicado por Smurf em 23/08/2006

[ Hits: 30.767 ]

 


Snort - Instalação e configuração



Com um firewall bem configurado, podemos colocar um pouco mais de segurança na nossa rede.

Baixar o código-fonte do Snort em www.snort.org. Recomendo instalar o Snort 2.0.0, mas tem versões mais atualizadas. Após baixar o Snort, leia o README e INSTALL, que se encontram no diretório /doc.

# tar xzvf snort-2.0.0.tar.gz
# cd snort-2.0.0
# vi doc/README
# vi doc/INSTALL


Será necessário a biblioteca libcap para que o Snort funcione corretamente. Tendo a biblioteca libpcap instalada, iremos para compilação do fonte.

# ./configure
# make
# make install


Com isso o Snort estará instalado. Para organizar vamos criar o diretório /etc/snort:

# mkdir /etc/snort

Dentro do código fonte do Snort, na pasta /etc, copie tudo que tem dentro dela para /etc/snort. Importante: Copie também as regras que ficam em /rules.

# pwd
/home/ch0wn/IDS/snort-2.0.0
# cp etc/ * /etc/snort
# cp -r rules / /etc/snort


Beleza. Feito isso nosso próximo passo é configurar o snort.conf, que está dentro de /etc/snort.

var HOME_NET $ppp0_ADDRESS
# para quem esta usando conexão discada

var EXTERNAL_NET any
# define a rede externa de qualquer IP

var DNS_SERVERS $HOME_NET
# define os serviços executados para o Snort analisar o trafego

var SMTP_SERVERS &HOME_NET
# define SMTP

var TELNET_SERVERS $HOME_NET
# define a Telnet

var HTTP_PORTS 80
# define a porta HTTP

var SHELLCODE_PORTS !80
# define qualquer porta diferente da 80

var RULE_PATH ./rules
# define o diretório de regras

As regras sobre a área preprocessor definem assinaturas e strings. Tem que ser escolhidas individualmente.

Seguindo adiante digitaremos:

include $RULE_PATH/regra_a_usar.rules

Agora sim podemos iniciar o Snort, as man-pages e o famoso --help me ajudam muito, espero que ajudem a vocês também.

Limitaremo-nos, por hora, a iniciar o Snort com o comando:

# snort -D -c /etc/snort/snort.conf

Nós não tocamos nas configurações de log. Então está mantido o padrão, que é /var/log/snort.

Se tudo ocorreu bem, o Snort será listado ao se digitar o comando "ps aux" em um terminal qualquer. O /var/log/syslog vai te ajudar a resolver alguns problemas, basta você abrir ele com o tail.

# tail -f /var/log/syslog

Observe as mensagens enviadas ao log pelo sistema.

Abraços.

Espero que consiga instalar e configurar o Snort.

Qualquer dúvida entre em contato... valeu!

Outras dicas deste autor

Instalando Samba4 no CentOS 7

No process in pidfile '/var/run/zabbix/zabbix_server.pid' found running; none killed

Configuração de Whitelist e Blacklist no Zimbra

Liberação de portas para e-mail

Configuração do Apache no FreeBSD

Leitura recomendada

Atualizando o Java Runtime Enveronment (JRE) de um jeito bem fácil

Auditando usuários com PAM usando o Aureport do Audit

Proteção Syn Flood de verdade

Como checar se há rootkits em seu sistema

Vídeo laboratório de Pentest - Explorando SQLi sem ferramentas

  

Comentários
[1] Comentário enviado por flpe007 em 27/09/2007 - 12:47h

caso tenham dificuldade para instalar o "libpcap"...
apt-get libpcap\*
apt-get libpcap-dev

e também erá necessario o

"libpcer"

apt-get libpcer\*
apt-get libpcer-dev

depois é só instalar o snort!!!

Flw

[2] Comentário enviado por noiseand em 17/10/2008 - 17:40h

Ola!

Ao invés de "var SMTP_SERVERS &HOME_NET", o correto é
"var SMTP_SERVERS $HOME_NET".

Abçs

[3] Comentário enviado por etonp em 24/10/2013 - 11:14h

faço tudo certo mas quando chega na hora do make ele não executa, eu instalo o make mas ele não rola! vc sabe o que pode ser?
diz que nenhum make foi encontrado.
abrç



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts