Snort és un lleuger sistema de detecció d’intrusos de xarxa gratuït per a UNIX i Windows.
En aquest article, repassarem com instal·lar snort des del principi, escriure regles i realitzar proves bàsiques.
descarregar i extreure Snort
Has de descarregar l’última versió gratuïta de snort de la pàgina web de snort. Després extreu el codi font de snort en el directori / usr / src com es mostra a continuació.
|
1
2
3
|
# cd / usr / src
# wget -O snort-2.8.6.1.tar .gz http://www.snort.org/downloads/116
# tar xvzf snort-2.8.6.1.tar.gz
|
instal·lar Snort
Abans d’instal·lar snort, assegura’t de tenir els paquets de desenvolupament de libpcap i libpcre.
|
1
2
3
4
5
6
7
8
9
|
# apt-cache policy libpcap0.8-dev
libpcap0.8-dev:
Installed: 1.0 .0-2ubuntu1
Candidate: 1.0.0-2ubuntu1
# apt-cache policy libpcre3-dev
libpcre3-dev:
Installed: 7.8-3
Candidate: 7.8-3
|
Has de seguir els següents passos per instal·lar snort.
|
1
2
3
4
|
# cd snort-2.8.6.1
# ./configure
# make
# make install
|
Veu rificar la instal·lació de Snort
Has verificar la instal·lació com es mostra a continuació.
|
1
2
3
4
5
6
7
|
# snort –version
,, _ – * > Snort! < * –
o “) ~ Version 2.8.6.1 (Build 39)
” ” By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Using PCRE versió: 7.8 2008-09-05
|
crear els arxius i els directoris necessaris.
Has de crear el fitxer de configuració, el fitxer de regles i el directori de registre.
Has de crear els següents directoris:
|
1
2
3
4
5
|
# mkdir / etc / snort
# mkdir / etc / snort / rules
# mkdir / var / log / snort
|
Després s’ha de crear els següents fitxers snort.conf i icmp.rules:
|
1
2
3
4
5
|
# cat /etc/snort/snort.conf
include /etc/snort/rules/icmp.rules
# cat /etc/snort/rules/icmp.rules
alert icmp any any – > any any (msg: “ICMP Packet” ; sid: 477; rev: 3;)
|
La regla bàsica anterior alerta quan hi ha un paquet ICMP (ping).
La siguiente es la estructura de la alerta:
|
1
2
|
< Accions de la regla > < Protocol > < Adreça IP d’origen > < Port d’origen > < operador de direcció >
< adreça IP de destinació > < Destinació >
|
Tabla: estructura de regles i ejemplo
| estructura | ejemplo |
| accions de la regla | alerta |
| Protocol | icmp |
| Adreça IP d’origen | qualsevol |
| Port de font | qualsevol |
| operador de direcció | – > |
| adreça IP de destinació | qualsevol |
| port de destinació | Qualsevol |
| (opcions de regla) | (msg : “Packet ICMP”; SID: 477; Rev: 3;) |
Ejecutar snort
ejecuta Snort desde la Línea de Comandos, Como SE VE a CULTURACIÓN.
|
1
|
# snort -c /etc/snort/snort.conf -L / var / log / snort /
|
Ahora intenta hacer ping a Alguna IP de tu Màquina, para verificar Nuestra regla de ping. EL SIGUIENTE ES EL EJEMPLO DE UNA ALOPERA DE SNOR PARAS ICMP.
|
1
2
3
4
5
6
7
|
# cap / var / log / snort / alerta
paquets ICMP
07 / 27-20: 41: 57.230345 > l / l len: 0 l / l Tipus: 0x200 0: 0: 0: 0: 0: 0
Pkt Tipus: 0x4 proto: 0x800 len: 0x64
209.85.231.102 – > 209.85.231.104 icmp ttl: 64 tos: 0x0 id: 0 iplen: 20 dgmlen: 84 dg
Tipus: 8 Codi: 0 ID: 24905 SEQ: 1 ECHO
|
Explicació De Alertas
SE AGGEGAN UN PAR DE LÍNEAS PAR CADA ALERTA, QUE INCLUYYE LO SIGUIENTE:
- El Mensaje Se Imprime en la Primera Línea.
- IP de Origen
- IP de Destino
- tipo de paquet e informació del encabezado.
- El Arxiu de Configuració Predeterminado Estará Disponible en Snort-2.8.6.1 / etc / snort.conf
- Les regles predeterminades es poden descarregar des de : http://www.snort.org/snort-rules
UL>
Si Tienes una interfaz Diferente para la conexión de vermell, EUA la opcion -dev -i. EN ESTE EJEMPLO, MI INTERFAZ DE RED ES PPP0.
|
1
|
# snort -dev -i ppp0 -c /etc/snort/snort.conf -l / var / log / snort /
|
ejecutar snort como demonio
agrega la opcion -d para ejecutar snort como demonio.
|
1
|
# snort -d -c /etc/snort/snort.conf -l / var / log / snort /
|
Información Adicional de Snort