== Questi sono appunti preliminari, sappiatelo == * Installo dai sorgenti perche` la versione debian e` vecchia muffa. Al momento la versione e` 2.6.0.2. * Voglio la funzionalita` inline per fare IPS oltre che IDS === Installazione === * scaricare il sorgente di snort * installare su Sarge i pacchetti delle librerie per poter compilare snort: {{{ apt-get install libpcap-dev libpcre3-dev iptables-dev libnet0-dev }}} * Scaricare libdnet da qui: http://kent.dl.sourceforge.net/sourceforge/libdnet/libdnet-1.11.tar.gz * Installare libdnet: {{{ tar zvxf libdnet-1.11.tar.gz cd libdnet-1.11 ./configure make make install }}} * Configurare e installare Snort: {{{ cd snort-2.6.0.2 ./configure --enable-inline --enable-flexresp2 --enable-react --with-libipq-libraries=/usr/lib/ --with-libipq-includes=/usr/include/libipq/ --with-libnet-includes=/usr/include/ --enable-dynamicplugin make make install }}} * Creare le directory e quant'altro serve: {{{ mkdir /etc/snort mkdir /var/log/snort adduser --disabled-password snort chown snort. /var/log/snort }}} * Scaricare le regole e scompattarle dentro /etc/snort (si creano le loro subdirectory da sole) * Copiare /usr/src/snort/etc/*.conf* ed *.map in /etc/snort * Fare lo script di init.d per snort, tipo: {{{ case $1 in start) echo Starting SNORT /usr/local/bin/snort -qD -u snort -g snort -c /etc/snort/snort.conf ;; stop) echo Stopping SNORT kill `cat /var/run/snort_*.pid` ;; esac }}} * A meno che non ci sia almeno un GB di RAM sulla macchina, e` meglio cambiare la configurazione di snort per usare lowmem. Cercare la parola "lowmem" in snort.conf e scommentare la riga. * Se si vuole, verificare in fondo a snort.conf quali regole vengono usate e aggiungere (o togliere) quelle che si vogliono. === TODO === * Snort-inline * Oinkmaster