== Questi sono appunti preliminari, sappiatelo ==

 * Installo dai sorgenti perche` la versione debian e` vecchia muffa. Al momento la versione e` 2.6.0.2.
 * Voglio la funzionalita` inline per fare IPS oltre che IDS


=== Installazione ===

 * scaricare il sorgente di snort
 * installare su Sarge i pacchetti delle librerie per poter compilare snort:
  {{{
apt-get install libpcap-dev libpcre3-dev iptables-dev libnet0-dev
}}}

 * Scaricare libdnet da qui: http://kent.dl.sourceforge.net/sourceforge/libdnet/libdnet-1.11.tar.gz
 * Installare libdnet:
  {{{ 
tar zvxf libdnet-1.11.tar.gz
cd libdnet-1.11
./configure
make
make install
}}}

 * Configurare e installare Snort:
  {{{
cd snort-2.6.0.2

./configure --enable-inline --enable-flexresp2 --enable-react --with-libipq-libraries=/usr/lib/ --with-libipq-includes=/usr/include/libipq/ --with-libnet-includes=/usr/include/ --enable-dynamicplugin

make
make install
}}}

 * Creare le directory e quant'altro serve:
  {{{
mkdir /etc/snort
mkdir /var/log/snort
adduser --disabled-password snort
chown snort. /var/log/snort
}}}

 * Scaricare le regole e scompattarle dentro /etc/snort (si creano le loro subdirectory da sole)
 * Copiare /usr/src/snort<versione>/etc/*.conf* ed *.map  in /etc/snort

 * Fare lo script di init.d per snort, tipo:
  {{{
case $1 in

        start)
                echo Starting SNORT
                /usr/local/bin/snort -qD -u snort -g snort -c /etc/snort/snort.conf
        ;;
        stop)
                echo Stopping SNORT
                kill  `cat /var/run/snort_*.pid`
        ;;
esac
}}}

 * A meno che non ci sia almeno un GB di RAM sulla macchina, e` meglio cambiare la configurazione di snort per usare lowmem. Cercare la parola "lowmem" in snort.conf e scommentare la riga.
 * Se si vuole, verificare in fondo a snort.conf quali regole vengono usate e aggiungere (o togliere) quelle che si vogliono.


=== TODO ===

 * Snort-inline
 * Oinkmaster