Como instalar e configurar Snort en Linux en 5 pasos sinxelos

Posted on by admin

Snort é un lixeiro sistema de detección de intrusos de rede gratuíta para Unix e Windows.

Neste artigo, imos Revise a forma de instalar Snort desde o principio, escribir regras e realizar probas básicas.

Descargar e extraer Snort

Ten que descargar a última versión gratuita do sitio web de Snort. A continuación, extrae o código fonte de Snort no directorio / USR / SRC que se mostra a continuación.

2
3

# cd / usr / src
# wget -o snort-2.8.6.1.tar .gz http://www.snort.org/downloads/116
# tar xvzf snort-2.8.6.1.tar.gz

Instalar Snort

Antes de instalar Snort, asegúrese de ter os paquetes de desenvolvemento LIBPCAP e LIBPRRE.

td>

# APT-CACHE POLICY LIBPCAP0.8-DV

LIBPCAP0.8-DV:
instalado: 1.0 .0-2ubuntu1
Candidate: 1.0.0-2ubuntu1
# apt-cache política libpcre3-dev
libpcre3-dev:
instalado: 7.8- 3
Candidate: 7.8-3
1
2
3
4
5
7
8
9

Ten que seguir os seguintes pasos para instalar Snort.

1
3
4

# cd snort-2.8.6.1
# ./configure
# make
# facer install

ve RIFY A instalación de Snort

Debes verificar a instalación como se mostra a continuación.

# snort –version
, _ – * > Snort! < * –
or “) ~ versión 2.8.6.1 (build 39)
” ‘de martin roesch The Snort Team: http://www.snort.org/snort/snort-team
Copyright (c) 1998-2010 SourceFire, Inc., et al.
Usando a versión PCRE: 7.8 2008-09-05

2
3
4
5
6

Crea os ficheiros e directorios necesarios.

Debes crear o ficheiro de configuración, o ficheiro de regras eo directorio de rexistro.

tes que crear os seguintes directorios:

1
2
4

5

/ td >

# mkdir / etc / snort
# mkdir / etc / snort / rules
# mkdir / Var / log / snort

A continuación, deben crearse os seguintes ficheiros SNORT.CONF e ICMP.RUX:

1
2
3
5

td>

# cat /etc/snort/snort.conf
incluír /etc/snort/rules/icmp.rules
# gato /etc/snort/rules/icmp.rules
alert icmp calquera calquera – > calquera calquera (msg: “paquete ICMP”; SID: 477; Rev: 3;)

a alerta de regras básica anterior cando Hai un paquete ICMP (Ping).

la siguiente é la estructura de la alerta:

1
2

< accións de regra > < PROTOCOL > < Enderezo IP de orixe > < porto de orixe > < operador de dirección >
< Enderezo IP de destino > < Destination > (Opcións de regras)

Tabla: Estructura de reglas y ejemplo

estructura ejemplo
Accións de regra alerta
Protocol icmp
dirección IP de orixe calquera
Porto de orixe calquera
operador de dirección – >
Enderezo IP de destino calquera
porto de destino calquera
(Opcións de regras) (msg : “Packet ICMP”; SID: 477; Rev: 3;)

ejecutar snort

ejecuta Snort Desde La Línea de Comandos, Como ve unha continuación.

1

# snort -c /etc/snort/snort.conf -l / var / log / snort /

Ahora Intenta Hacer Ping a Alguna IP de Tu Máquina, para verificar Nuestra Regla de Ping. EL SIGUIENTE ES EJEMPLO DE UNA ALERTA DE SNUT PARA ESTA REGLA ICMP.

1
2
3
4
5
6
7

# head / var / log / snort / alery
paquete ICMP
07 / 27-20: 41: 57.230345 > l / l len: 0 l / l Tipo: 0x200 0: 0: 0: 0: 0: 0
PKT Tipo: 0x4 Proto: 0x800 Len: 0x64
209.85.231.102 –

209.85.231.104 ICMP TTL: 64 TOS: 0x0 ID: 0 IPLEN: 20 DGMLEN: 84 DF

Tipo: 8 Código: 0 ID: 24905 SEQ: 1 ECHO

EXPLICACIÓN de alertas
se agregan un par de líneas para cadea alerta, que incluye lo siguiente:

  • El mensaje se imprime en la primera línea.
  • IP de origen
  • IP de Destino
  • tipo de paquete e información del encabezado.

SI Tienes Una Interfaz Diferente para a Conexión de Red, Estados Unidos La Opción -Dev -i. En Este ejemplo, MI Interfaz de Red ES PP0.

1

# snort -dev -i ppp0 -c /etc/snort/snort.conf -l / var / log / snort /

ejecutar snort como demonio

agrega la opción -d para ejecutar snort como demonio.

1

# snort -d -c -c /etc/snort/snort.conf -l / var / log / snort /

Información adicional de snort

    O Arquivo de Configuración Predeterminado Estará Disponible en Snort-2.8.6.1 / etc / Snort.Conf
  • As regras predeterminadas poden descargarse desde: http://www.snort.org/snort-rules

Deixa unha resposta

O teu enderezo electrónico non se publicará Os campos obrigatorios están marcados con *