Como instalar e configurar o Snort em Linux em 5 etapas simples

Posted on by admin

Snort é um leve sistema de detecção de intrusão de rede livre para UNIX e Windows.

Neste artigo, vamos Revise como instalar o Snort desde o início, escreva regras e execute testes básicos.

Download e extrair Snort

Você precisa baixar a versão gratuita mais recente do site do Snort. Em seguida, ele extrai o código fonte SNORT para o diretório / usr / src como mostrado abaixo.

2
3

# cd / usr / src
# WGET -O Snort-2.8.6.1.Tar .gz http://www.snort.org/downloads/116
# tar xvzf bufo-2.8.6.1.tar.gz

Instale Snort

Antes de instalar o Snort, verifique se você tem os pacotes libpcap e desenvolvimento libpcre.

TD>

# Apt-cache libpcap0.8-dev política
libpcap0.8-dev:
instalada: 1,0 .0-2ubuntu1
candidato: 1.0.0-2ubuntu1
# Apt-cache libpcre3-dev política
libpcre3-dev:
instalada: 7.8- 3
candidato: 7,8-3
1
2
3
4

4

5
7
8
9

Você tem que seguir os seguintes passos para instalar o Snort.

1
3
4

# CD Snort-2.8.6.1
# ./configure
# make
# make install

vê Aterrorizaria a instalação de SNORT

Você deve verificar a instalação, conforme mostrado abaixo.

# Snort –version
_ – * > snort! < * –
ou “) ~ Versão 2.8.6.1 (criação de 39)
” ” por Martin Roesch & The Snort Equipe: http://www.snort.org/snort/snort-team
Copyright (c) 1998-2010 SourceFire, Inc., et al.
usando a versão pcre: 7.8 2008-09-05

2
3
4
5
6

Criar os arquivos e diretórios necessários

Você deve criar o arquivo de configuração, o arquivo de regras e o diretório de registro

Você tem que criar os seguintes diretórios:..

1
2
4

5

/ TD >

# mkdir / etc / snort
# mkdir / etc / snort / rules
# mkdir / Var / log / snort

, em seguida, os seguintes arquivos snort.conf e ICMP.RUX deve ser criado:

1
2
3
5

TD>

# cat /etc/snort/snort.conf
incluem /etc/snort/rules/icmp.rules
# cat /etc/snort/rules/icmp.rules
alerta ICMP Qualquer Qualquer – > Qualquer Qualquer (MSG: “ICMP Packet”; SID: 477; Rev: 3;)

O alerta de regra básica anterior quando Existe um pacote ICMP (ping).

la siguiente es la estructua de la alerta:

1
2

< Ações de regra < Protocolo > < endereço IP de origem < porta de origem > < Operador de direção
< Endereço IP de destino > < destino > (Opções de regras)

tabla: estrutura de Reglas y ejemplo

>

Estructura ejemplo
Alerta
Protocolo ICMP
endereço IP de origem qualquer
Porta de origem
Operador de direção – >
endereço IP de destino
Porta de destino qualquer
(opções de regras) (msg : “Packet ICMP”; SID: 477; Rev: 3;)

ejecutar snort

ejecuta Snort Desde la Línea de Comandos, Como se vê uma Continuação.

1

# snort -c /etc/snort/snort.conf -l / var / log / snort /

ahora intenta hacer ping uma alguna ip de tu máquina, para verificar nuestra regla de ping. EL SIGUIENTE EL EJ EJEMPLO de Una Alerta de Snort Para Esta Regla ICMP.

1
2
3
4
5
7

# head / var / log / snort / alerta
icmp pacote
07 / 27-20: 41: 57.230345 > l / l Len: 0 l / l Tipo: 0x200 0: 0: 0: 0: 0: 0
PKT Tipo: 0x4 Proto: 0x800 Len: 0x64
209.85.231.102 – > 209.85.231.104 ICMP TTL: 64 TOS: 0x0 ID: 0 iPlen: 20 DGMLEN: 84 DF
Tipo: 8 Código: 0 ID: 24905 SEQ: 1 ECHO

explicación de alertas
SE AGRGAN UN PAR DE LÍNAS PARA CADA ALERTA, QUE INCUYE LO SIGUIENTE:

  • El Mensaje Se Imprime En La Primera Línea.
  • ip de origem
  • ip de destino
  • tipo de paquete e información del EncaBezado.

si tienes una interfaz diferente para la conexión de vermelho, EUA la opción -Dev -i. En este ejemplo, mi interna de vermelho es ppp0.

1

# Snort -Dev -i ppp0 -c /etc/snort/snort.conf -l / var / log / snort /

ejecutar snort com demonio

agga la opción -d para ejecutar snort como demonio.

1

# snort -d -c /etc/snort/snort.conf -l / var / log / snort /

información adicional de snort

    El Arcivo de Configuración Predeterminado Estará Disponível en Snort-2.8.6.1 / etc / snort.Conf
  • regras padrão pode ser baixado de: http://www.snort.org/snort-rules

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *