Instalando e configurando o SNORT

O Snort uma das ferramentas mais utilizadas com o intuito de entre outras coisas detectar no momento o acesso no autorizado, vale lembrar que no site [ http://www.snort.org/ ] tambm tem uma verso desse IDS para plataforma Microsoft. Faa o download do snort no site j mencionado para qualquer diretrio. O processo de descompactao e instalao o seguinte: # tar zxvf snort.x.x.tar.gz (x.x a verso) Ser descompactado e criado um diretrio snort.x.x, entre nesse diretrio e continue... # ./configure -prefix=/usr/local/snort # make # make install O snort ser instalado no diretrio /usr/local/snort. Agora temos o snort instalado e pronto para ser configurado, para isso vamos precisar fazer mais alguns Passos, so eles: 01. Criar o diretrio onde ser guardado o arquivo de log do snort. 02. Criar o diretrio no /ETC onde ficar o snort.conf e os arquivos rules. 03. Fazer as copias necessrias do arquivos mencionados. 04. E a configurao propriamente dita. Passo 1 # mkdir /var/log/snort Passo 2 # mkdir /etc/snort Passo 3 # cp /usr/local/snort/*.* /etc/snort # cp /usr/local/snort/rules/*.* /etc/snort Passo 4 # pico /etc/snort/snort.conf (esse o arquivo de configurao) Localize as seguintes linhas no arquivo citado acima: # Path to your rules files (this can be a relative path) var RULE_PATH ../rules Essa linha configura o caminho onde ficaro os arquivos de regras, ela deve ficar conforme abaixo: # Path to your rules files (this can be a relative path) var RULE_PATH /etc/snort No final do arquivo snort.conf, vocs encontraro as linhas que ativam/desativam o uso das regras (rules) como no exemplo abaixo. Retire o smbolo de comentrio no incio de cada linha(#) caso queira ativar a linha. #include $RULE_PATH/local.rules #include $RULE_PATH/bad-traffic.rules

#include $RULE_PATH/tftp.rules Estas linhas so as regras que o Snort utilize para identificar e interpretar os ataques realizados em sua mquina por possveis invasores, voc encontrar regras para identificar ataques de Denial of Service, uso de P2P, uso de Port Scanners, cabe a voc escolher quais regras sero mais teis. Salve e feche o arquivo snort.conf. Para executar o snort, execute a linha abaixo: # /usr/local/snort/bin/snort -c /etc/snort/snort.conf -i eth0 & A opo i indica qual a interface que o snort estar "escutando", voc pode colocar essa linha no /etc/rc.local para garantir a inicializao sempre que o servidor for reiniciado. A opo & indica que o servio ser rodado em Background. Por fim no diretrio /var/log/snort ser criado automaticamente o arquivo alert, monitore sempre esse arquivo para verificar possveis invases.