Com um firewall bem configurado, podemos colocar um pouco mais de segurança na nossa rede.
Baixar o código-fonte do Snort em www.snort.org. Recomendo instalar o Snort 2.0.0, mas tem versões mais atualizadas. Após baixar o Snort, leia o README e INSTALL, que se encontram no diretório /doc.
# tar xzvf snort-2.0.0.tar.gz
# cd snort-2.0.0
# vi doc/README
# vi doc/INSTALL
Será necessário a biblioteca libcap para que o Snort funcione corretamente. Tendo a biblioteca libpcap instalada, iremos para compilação do fonte.
# ./configure
# make
# make install
Com isso o Snort estará instalado. Para organizar vamos criar o diretório /etc/snort:
# mkdir /etc/snort
Dentro do código fonte do Snort, na pasta /etc, copie tudo que tem dentro dela para /etc/snort. Importante: Copie também as regras que ficam em /rules.
# pwd
/home/ch0wn/IDS/snort-2.0.0
# cp etc/ * /etc/snort
# cp -r rules / /etc/snort
Beleza. Feito isso nosso próximo passo é configurar o snort.conf, que está dentro de /etc/snort.
Baixar o código-fonte do Snort em www.snort.org. Recomendo instalar o Snort 2.0.0, mas tem versões mais atualizadas. Após baixar o Snort, leia o README e INSTALL, que se encontram no diretório /doc.
# tar xzvf snort-2.0.0.tar.gz
# cd snort-2.0.0
# vi doc/README
# vi doc/INSTALL
Será necessário a biblioteca libcap para que o Snort funcione corretamente. Tendo a biblioteca libpcap instalada, iremos para compilação do fonte.
# ./configure
# make
# make install
Com isso o Snort estará instalado. Para organizar vamos criar o diretório /etc/snort:
# mkdir /etc/snort
Dentro do código fonte do Snort, na pasta /etc, copie tudo que tem dentro dela para /etc/snort. Importante: Copie também as regras que ficam em /rules.
# pwd
/home/ch0wn/IDS/snort-2.0.0
# cp etc/ * /etc/snort
# cp -r rules / /etc/snort
Beleza. Feito isso nosso próximo passo é configurar o snort.conf, que está dentro de /etc/snort.
var HOME_NET $ppp0_ADDRESS
# para quem esta usando conexão discada
var EXTERNAL_NET any
# define a rede externa de qualquer IP
var DNS_SERVERS $HOME_NET
# define os serviços executados para o Snort analisar o trafego
var SMTP_SERVERS &HOME_NET
# define SMTP
var TELNET_SERVERS $HOME_NET
# define a Telnet
var HTTP_PORTS 80
# define a porta HTTP
var SHELLCODE_PORTS !80
# define qualquer porta diferente da 80
var RULE_PATH ./rules
# define o diretório de regras
# para quem esta usando conexão discada
var EXTERNAL_NET any
# define a rede externa de qualquer IP
var DNS_SERVERS $HOME_NET
# define os serviços executados para o Snort analisar o trafego
var SMTP_SERVERS &HOME_NET
# define SMTP
var TELNET_SERVERS $HOME_NET
# define a Telnet
var HTTP_PORTS 80
# define a porta HTTP
var SHELLCODE_PORTS !80
# define qualquer porta diferente da 80
var RULE_PATH ./rules
# define o diretório de regras
As regras sobre a área preprocessor definem assinaturas e strings. Tem que ser escolhidas individualmente.
Seguindo adiante digitaremos:
include $RULE_PATH/regra_a_usar.rules
Agora sim podemos iniciar o Snort, as man-pages e o famoso --help me ajudam muito, espero que ajudem a vocês também.
Limitaremo-nos, por hora, a iniciar o Snort com o comando:
# snort -D -c /etc/snort/snort.conf
Nós não tocamos nas configurações de log. Então está mantido o padrão, que é /var/log/snort.
Se tudo ocorreu bem, o Snort será listado ao se digitar o comando "ps aux" em um terminal qualquer. O /var/log/syslog vai te ajudar a resolver alguns problemas, basta você abrir ele com o tail.
# tail -f /var/log/syslog
Observe as mensagens enviadas ao log pelo sistema.
Abraços.
Espero que consiga instalar e configurar o Snort.
Qualquer dúvida entre em contato... valeu!
conte:vivaolinux
0 comentários:
Postar um comentário