Snort

Questi sono appunti preliminari, sappiatelo

• Installo dai sorgenti perche` la versione debian e` vecchia muffa. Al momento la versione e` 2.6.0.2.
• Voglio la funzionalita` inline per fare IPS oltre che IDS

Installazione

• scaricare il sorgente di snort
• installare su Sarge i pacchetti delle librerie per poter compilare snort:

  • apt-get install libpcap-dev libpcre3-dev iptables-dev libnet0-dev

• Scaricare libdnet da qui: http://kent.dl.sourceforge.net/sourceforge/libdnet/libdnet-1.11.tar.gz

• Installare libdnet:

  • tar zvxf libdnet-1.11.tar.gz
    cd libdnet-1.11
    ./configure
    make
    make install

• Configurare e installare Snort:

  • cd snort-2.6.0.2
    
    ./configure --enable-inline --enable-flexresp2 --enable-react --with-libipq-libraries=/usr/lib/ --with-libipq-includes=/usr/include/libipq/ --with-libnet-includes=/usr/include/ --enable-dynamicplugin
    
    make
    make install

• Creare le directory e quant'altro serve:

  • mkdir /etc/snort
    mkdir /var/log/snort
    adduser --disabled-password snort
    chown snort. /var/log/snort

• Scaricare le regole e scompattarle dentro /etc/snort (si creano le loro subdirectory da sole)

• Copiare /usr/src/snort<versione>/etc/*.conf* ed *.map in /etc/snort

• Fare lo script di init.d per snort, tipo:

  • case $1 in
    
            start)
                    echo Starting SNORT
                    /usr/local/bin/snort -qD -u snort -g snort -c /etc/snort/snort.conf
            ;;
            stop)
                    echo Stopping SNORT
                    kill  `cat /var/run/snort_*.pid`
            ;;
    esac

• A meno che non ci sia almeno un GB di RAM sulla macchina, e` meglio cambiare la configurazione di snort per usare lowmem. Cercare la parola "lowmem" in snort.conf e scommentare la riga.
• Se si vuole, verificare in fondo a snort.conf quali regole vengono usate e aggiungere (o togliere) quelle che si vogliono.

TODO

• Snort-inline
• Oinkmaster