Com instal · lar i configurar Snort en Linux en 5 senzills passos

Snort és un lleuger sistema de detecció d’intrusos de xarxa gratuït per a UNIX i Windows.

En aquest article, repassarem com instal·lar snort des del principi, escriure regles i realitzar proves bàsiques.

descarregar i extreure Snort

Has de descarregar l’última versió gratuïta de snort de la pàgina web de snort. Després extreu el codi font de snort en el directori / usr / src com es mostra a continuació.

1
2
3

# cd / usr / src
# wget -O snort-2.8.6.1.tar .gz http://www.snort.org/downloads/116
# tar xvzf snort-2.8.6.1.tar.gz

instal·lar Snort

Abans d’instal·lar snort, assegura’t de tenir els paquets de desenvolupament de libpcap i libpcre.

1
2
3
4
5
6
7
8
9

# apt-cache policy libpcap0.8-dev
libpcap0.8-dev:
Installed: 1.0 .0-2ubuntu1
Candidate: 1.0.0-2ubuntu1
# apt-cache policy libpcre3-dev
libpcre3-dev:
Installed: 7.8-3
Candidate: 7.8-3

Has de seguir els següents passos per instal·lar snort.

1
2
3
4

# cd snort-2.8.6.1
# ./configure
# make
# make install

Veu rificar la instal·lació de Snort

Has verificar la instal·lació com es mostra a continuació.

1
2
3
4
5
6
7

# snort –version
,, _ – * > Snort! < * –
o “) ~ Version 2.8.6.1 (Build 39)
” ” By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Using PCRE versió: 7.8 2008-09-05

crear els arxius i els directoris necessaris.

Has de crear el fitxer de configuració, el fitxer de regles i el directori de registre.

Has de crear els següents directoris:

1
2
3
4
5

# mkdir / etc / snort
# mkdir / etc / snort / rules
# mkdir / var / log / snort

Després s’ha de crear els següents fitxers snort.conf i icmp.rules:

1
2
3
4
5

# cat /etc/snort/snort.conf
include /etc/snort/rules/icmp.rules
# cat /etc/snort/rules/icmp.rules
alert icmp any any – > any any (msg: “ICMP Packet” ; sid: 477; rev: 3;)

La regla bàsica anterior alerta quan hi ha un paquet ICMP (ping).

La siguiente es la estructura de la alerta:

1
2

< Accions de la regla > < Protocol > < Adreça IP d’origen > < Port d’origen > < operador de direcció >
< adreça IP de destinació > < Destinació >

Tabla: estructura de regles i ejemplo

estructura ejemplo
accions de la regla alerta
Protocol icmp
Adreça IP d’origen qualsevol
Port de font qualsevol
operador de direcció – >
adreça IP de destinació qualsevol
port de destinació Qualsevol
(opcions de regla) (msg : “Packet ICMP”; SID: 477; Rev: 3;)

Ejecutar snort

ejecuta Snort desde la Línea de Comandos, Como SE VE a CULTURACIÓN.

1

# snort -c /etc/snort/snort.conf -L / var / log / snort /

Ahora intenta hacer ping a Alguna IP de tu Màquina, para verificar Nuestra regla de ping. EL SIGUIENTE ES EL EJEMPLO DE UNA ALOPERA DE SNOR PARAS ICMP.

1
2
3
4
5
6
7

# cap / var / log / snort / alerta
paquets ICMP
07 / 27-20: 41: 57.230345 > l / l len: 0 l / l Tipus: 0x200 0: 0: 0: 0: 0: 0
Pkt Tipus: 0x4 proto: 0x800 len: 0x64
209.85.231.102 – > 209.85.231.104 icmp ttl: 64 tos: 0x0 id: 0 iplen: 20 dgmlen: 84 dg
Tipus: 8 Codi: 0 ID: 24905 SEQ: 1 ECHO

Explicació De Alertas
SE AGGEGAN UN PAR DE LÍNEAS PAR CADA ALERTA, QUE INCLUYYE LO SIGUIENTE:

  • El Mensaje Se Imprime en la Primera Línea.
  • IP de Origen
  • IP de Destino
  • tipo de paquet e informació del encabezado.
  • UL>

    Si Tienes una interfaz Diferente para la conexión de vermell, EUA la opcion -dev -i. EN ESTE EJEMPLO, MI INTERFAZ DE RED ES PPP0.

    1

    # snort -dev -i ppp0 -c /etc/snort/snort.conf -l / var / log / snort /

    ejecutar snort como demonio

    agrega la opcion -d para ejecutar snort como demonio.

    1

    # snort -d -c /etc/snort/snort.conf -l / var / log / snort /

    Información Adicional de Snort

    • El Arxiu de Configuració Predeterminado Estará Disponible en Snort-2.8.6.1 / etc / snort.conf
    • Les regles predeterminades es poden descarregar des de : http://www.snort.org/snort-rules

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *