===== Questi sono appunti preliminari, sappiatelo =====

  * Installo dai sorgenti perche` la versione debian e` vecchia muffa. Al momento la versione e` 2.6.0.2.
  * Voglio la funzionalita` inline per fare IPS oltre che IDS


==== Installazione ====

  * scaricare il sorgente di snort
  * installare su Sarge i pacchetti delle librerie per poter compilare snort:
<code>
apt-get install libpcap-dev libpcre3-dev iptables-dev libnet0-dev
</code>

  * Scaricare libdnet da qui: http://kent.dl.sourceforge.net/sourceforge/libdnet/libdnet-1.11.tar.gz
  * Installare libdnet:
  {{{ 
tar zvxf libdnet-1.11.tar.gz
cd libdnet-1.11
./configure
make
make install
</code>

  * Configurare e installare Snort:
<code>
cd snort-2.6.0.2

./configure --enable-inline --enable-flexresp2 --enable-react --with-libipq-libraries=/usr/lib/ --with-libipq-includes=/usr/include/libipq/ --with-libnet-includes=/usr/include/ --enable-dynamicplugin

make
make install
</code>

  * Creare le directory e quant'altro serve:
<code>
mkdir /etc/snort
mkdir /var/log/snort
adduser --disabled-password snort
chown snort. /var/log/snort
</code>

  * Scaricare le regole e scompattarle dentro /etc/snort (si creano le loro subdirectory da sole)
  * Copiare /usr/src/snort<versione>/etc/*.conf* ed *.map  in /etc/snort

  * Fare lo script di init.d per snort, tipo:
<code>
case $1 in

        start)
                echo Starting SNORT
                /usr/local/bin/snort -qD -u snort -g snort -c /etc/snort/snort.conf
        ;;
        stop)
                echo Stopping SNORT
                kill  `cat /var/run/snort_*.pid`
        ;;
esac
</code>

  * A meno che non ci sia almeno un GB di RAM sulla macchina, e` meglio cambiare la configurazione di snort per usare lowmem. Cercare la parola "lowmem" in snort.conf e scommentare la riga.
  * Se si vuole, verificare in fondo a snort.conf quali regole vengono usate e aggiungere (o togliere) quelle che si vogliono.


==== TODO ====

  * Snort-inline
  * Oinkmaster