Differences between revisions 1 and 2
Revision 1 as of 2006-10-22 13:16:31
Size: 1267
Editor: Kurgan
Comment:
Revision 2 as of 2006-10-22 15:28:35
Size: 2006
Editor: Kurgan
Comment:
Deletions are marked like this. Additions are marked like this.
Line 29: Line 29:
./configure --enable-inline --enable-flexresp2 --enable-react --with-libipq-libraries=/usr/lib/ --with-libipq-includes=/usr/include/libipq/ --with-libnet-includes=/usr/include/ ./configure --enable-inline --enable-flexresp2 --enable-react --with-libipq-libraries=/usr/lib/ --with-libipq-includes=/usr/include/libipq/ --with-libnet-includes=/usr/include/ --enable-dynamicplugin
Line 44: Line 44:
 * Copiare /usr/src/snort<versione>/etc/*.conf ed *.map in /etc/snort  * Copiare /usr/src/snort<versione>/etc/*.conf* ed *.map in /etc/snort

 * Fare lo script di init.d per snort, tipo:
  {{{
case $1 in

        start)
                echo Starting SNORT
                /usr/local/bin/snort -qD -u snort -g snort -c /etc/snort/snort.conf
        ;;
        stop)
                echo Stopping SNORT
                kill `cat /var/run/snort_*.pid`
        ;;
esac
}}}

 * A meno che non ci sia almeno un GB di RAM sulla macchina, e` meglio cambiare la configurazione di snort per usare lowmem. Cercare la parola "lowmem" in snort.conf e scommentare la riga.
 * Se si vuole, verificare in fondo a snort.conf quali regole vengono usate e aggiungere (o togliere) quelle che si vogliono.


=== TODO ===

 * Snort-inline
 * Oinkmaster

Questi sono appunti preliminari, sappiatelo

  • Installo dai sorgenti perche` la versione debian e` vecchia muffa. Al momento la versione e` 2.6.0.2.
  • Voglio la funzionalita` inline per fare IPS oltre che IDS

Installazione

  • scaricare il sorgente di snort
  • installare su Sarge i pacchetti delle librerie per poter compilare snort:
    • apt-get install libpcap-dev libpcre3-dev iptables-dev libnet0-dev
  • Scaricare libdnet da qui: http://kent.dl.sourceforge.net/sourceforge/libdnet/libdnet-1.11.tar.gz

  • Installare libdnet:
    • tar zvxf libdnet-1.11.tar.gz
      cd libdnet-1.11
      ./configure
      make
      make install
  • Configurare e installare Snort:
    • cd snort-2.6.0.2
      
      ./configure --enable-inline --enable-flexresp2 --enable-react --with-libipq-libraries=/usr/lib/ --with-libipq-includes=/usr/include/libipq/ --with-libnet-includes=/usr/include/ --enable-dynamicplugin
      
      make
      make install
  • Creare le directory e quant'altro serve:
    • mkdir /etc/snort
      mkdir /var/log/snort
      adduser --disabled-password snort
      chown snort. /var/log/snort
  • Scaricare le regole e scompattarle dentro /etc/snort (si creano le loro subdirectory da sole)
  • Copiare /usr/src/snort<versione>/etc/*.conf* ed *.map in /etc/snort

  • Fare lo script di init.d per snort, tipo:
    • case $1 in
      
              start)
                      echo Starting SNORT
                      /usr/local/bin/snort -qD -u snort -g snort -c /etc/snort/snort.conf
              ;;
              stop)
                      echo Stopping SNORT
                      kill  `cat /var/run/snort_*.pid`
              ;;
      esac
  • A meno che non ci sia almeno un GB di RAM sulla macchina, e` meglio cambiare la configurazione di snort per usare lowmem. Cercare la parola "lowmem" in snort.conf e scommentare la riga.
  • Se si vuole, verificare in fondo a snort.conf quali regole vengono usate e aggiungere (o togliere) quelle che si vogliono.

TODO

  • Snort-inline
  • Oinkmaster

Snort (last edited 2009-04-12 17:33:24 by localhost)