La Knowledge Base di Kurgan (2.0)

• Installo dai sorgenti perche` la versione debian e` vecchia muffa. Al momento la versione e` 2.6.0.2.
• Voglio la funzionalita` inline per fare IPS oltre che IDS

• scaricare il sorgente di snort
• installare su Sarge i pacchetti delle librerie per poter compilare snort:

apt-get install libpcap-dev libpcre3-dev iptables-dev libnet0-dev

• Scaricare libdnet da qui: http://kent.dl.sourceforge.net/sourceforge/libdnet/libdnet-1.11.tar.gz
• Installare libdnet:

{{{ tar zvxf libdnet-1.11.tar.gz cd libdnet-1.11 ./configure make make install </code>

• Configurare e installare Snort:

cd snort-2.6.0.2

./configure --enable-inline --enable-flexresp2 --enable-react --with-libipq-libraries=/usr/lib/ --with-libipq-includes=/usr/include/libipq/ --with-libnet-includes=/usr/include/ --enable-dynamicplugin

make
make install

• Creare le directory e quant'altro serve:

mkdir /etc/snort
mkdir /var/log/snort
adduser --disabled-password snort
chown snort. /var/log/snort

• Scaricare le regole e scompattarle dentro /etc/snort (si creano le loro subdirectory da sole)
• Copiare /usr/src/snort<versione>/etc/*.conf* ed *.map in /etc/snort

• Fare lo script di init.d per snort, tipo:

case $1 in

        start)
                echo Starting SNORT
                /usr/local/bin/snort -qD -u snort -g snort -c /etc/snort/snort.conf
        ;;
        stop)
                echo Stopping SNORT
                kill  `cat /var/run/snort_*.pid`
        ;;
esac

• A meno che non ci sia almeno un GB di RAM sulla macchina, e` meglio cambiare la configurazione di snort per usare lowmem. Cercare la parola "lowmem" in snort.conf e scommentare la riga.
• Se si vuole, verificare in fondo a snort.conf quali regole vengono usate e aggiungere (o togliere) quelle che si vogliono.

• Snort-inline
• Oinkmaster