Differences between revisions 2 and 3
Revision 2 as of 2006-10-22 15:28:35
Size: 2006
Editor: Kurgan
Comment:
Revision 3 as of 2009-04-12 17:33:24
Size: 2006
Editor: localhost
Comment: converted to 1.6 markup
No differences found!

Questi sono appunti preliminari, sappiatelo

  • Installo dai sorgenti perche` la versione debian e` vecchia muffa. Al momento la versione e` 2.6.0.2.
  • Voglio la funzionalita` inline per fare IPS oltre che IDS

Installazione

  • scaricare il sorgente di snort
  • installare su Sarge i pacchetti delle librerie per poter compilare snort:
    • apt-get install libpcap-dev libpcre3-dev iptables-dev libnet0-dev
  • Scaricare libdnet da qui: http://kent.dl.sourceforge.net/sourceforge/libdnet/libdnet-1.11.tar.gz

  • Installare libdnet:
    • tar zvxf libdnet-1.11.tar.gz
      cd libdnet-1.11
      ./configure
      make
      make install
  • Configurare e installare Snort:
    • cd snort-2.6.0.2
      
      ./configure --enable-inline --enable-flexresp2 --enable-react --with-libipq-libraries=/usr/lib/ --with-libipq-includes=/usr/include/libipq/ --with-libnet-includes=/usr/include/ --enable-dynamicplugin
      
      make
      make install
  • Creare le directory e quant'altro serve:
    • mkdir /etc/snort
      mkdir /var/log/snort
      adduser --disabled-password snort
      chown snort. /var/log/snort
  • Scaricare le regole e scompattarle dentro /etc/snort (si creano le loro subdirectory da sole)
  • Copiare /usr/src/snort<versione>/etc/*.conf* ed *.map in /etc/snort

  • Fare lo script di init.d per snort, tipo:
    • case $1 in
      
              start)
                      echo Starting SNORT
                      /usr/local/bin/snort -qD -u snort -g snort -c /etc/snort/snort.conf
              ;;
              stop)
                      echo Stopping SNORT
                      kill  `cat /var/run/snort_*.pid`
              ;;
      esac
  • A meno che non ci sia almeno un GB di RAM sulla macchina, e` meglio cambiare la configurazione di snort per usare lowmem. Cercare la parola "lowmem" in snort.conf e scommentare la riga.
  • Se si vuole, verificare in fondo a snort.conf quali regole vengono usate e aggiungere (o togliere) quelle che si vogliono.

TODO

  • Snort-inline
  • Oinkmaster

Snort (last edited 2009-04-12 17:33:24 by localhost)