instalando e configurando snort

Publicado: maio 27, 2009 em honeypots, rede, seguranca
Tags:, , ,

Clique aqui e veja nosso novo site

Fonte: drkmario.blogspot.com

Galera, estou com pouco tempo, Por isso tenho que ser bem rapido

Primeiramente

O Snort é uma das ferramentas mais utilizadas com o intuito de detectar no momento o acesso não autorizado, vale lembrar que no site  http://www.snort.org/ ] também tem uma versão desse IDS para plataforma Microsoft.

Faça o download do snort no link ditado.

# tar zxvf snort.x.x.tar.gz (x.x é a versão)

Será descompactado e criado um diretório snort.x.x, entre nesse diretório e continue…

# ./configure -prefix=/usr/local/snort

# make

# make install

O snort será instalado no diretório /usr/local/snort. Agora o snort está instalado.

OBS: Não está configurado, para isso vamos precisar fazer mais algumas alterações.

Passos:
01. Criar o diretório onde será guardado o arquivo de log do snort.

02. Criar o diretório no /ETC onde ficará o snort.conf e os arquivos rules.

03. Fazer as copias necessárias do arquivos mencionados.

04. E a configuração propriamente dita.

# mkdir /var/log/snort

# mkdir /etc/snort
Passo 3
# cp /usr/local/snort/*.* /etc/snort # cp /usr/local/snort/rules/*.* /etc/snort
Passo 4
# pico /etc/snort/snort.conf (esse é o arquivo de configuração)

Localize as seguintes linhas no arquivo citado acima:

# Path to your rules files (this can be a relative path)
var RULE_PATH ../rules

Essa linha configura o caminho onde ficarão os arquivos de regras, ela deve ficar conforme abaixo:

# Path to your rules files (this can be a relative path)
var RULE_PATH /etc/snort

No final do arquivo snort.conf, vocês encontrarão as linhas que ativam/desativam o uso das regras (rules) como no exemplo abaixo. Retire o símbolo(#) de cada uma das linhas… pois este símbolo especifica uma linha de comentários…. caso queira ativar a linha.

#include $RULE_PATH/local.rules
#include $RULE_PATH/bad-traffic.rules
#include $RULE_PATH/tftp.rules

Estas linhas são as regras que o Snort utilize para identificar e interpretar os ataques realizados em sua máquina por possíveis invasores, você encontrará regras para identificar ataques de Denial of Service, uso de P2P, uso de Port Scanners, cabe a você escolher quais regras serão mais úteis. Salve e feche o arquivo snort.conf.
Para executar o snort, execute a linha abaixo:

# /usr/local/snort/bin/snort -c /etc/snort/snort.conf -i eth0 &

A opção –i indica qual a interface que o snort estará “escutando”, você pode colocar essa linha no /etc/rc.local para garantir a inicialização sempre que o servidor for reiniciado. A opção & indica que o serviço será rodado em Background.
Por fim no diretório /var/log/snort será criado automaticamente o arquivo alert, monitore sempre esse arquivo para verificar possíveis invasões.

Voce pode configurar o snort de acordo com que voce deseje… Pesquise sobre outras configuraçoes no proprio site http://www.snort.org

Até+

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s