Configuração do Apache2 e PHP

# cp /etc/apache2/sites-available/default-ssl /etc/apache2/sites-enabled
# vi /etc/php5/apache2/php.ini

Altere para:

error_reporting = E_ALL & ~E_NOTICE

# a2enmod ssl
# pear config-set preferred_state alpha
# pear install Image_Color Image_Canvas Image_Graph
# /etc/init.d/apache2 restart

Instalação e configuração do BASE (interface para visualização de alertas)

# wget http://sourceforge.net/projects/secureideas/files/BASE/base-1.4.5/base-1.4.5.tar.gz
# tar -zxf base-1.4.5.tar.gz
# cp -r base-1.4.5 /var/www/base
# chown -R www-data.www-data /var/www/base
# chmod -R 770 /var/www/base

Acesse o seguinte endereço através do seu navegador: https://<ip do servidor>/base

Clique em next e escolha português.

Altere os seguintes campos:

Caminho para adodb: /usr/share/php/adodb
Nome da base de dados: snort
Nome do host: localhost
Porta da base de dados: <deixe em branco - porta padrão>
Nome do usuário da base de dados: snort
Senha do usuário da base de dados: mypass

Clique em concluir.

Clique em "criar baseag".

Será aberto o base com os dados dos alertas já gerados. Divirta-se.   

Instalação do PulledPork (gerenciador de atualizações)

# wget http://pulledpork.googlecode.com/files/pulledpork-0.5.0.tar.gz
# tar -zxf pulledpork-0.5.0.tar.gz && cd pulledpork-0.5.0
# cp pulledpork.pl /usr/local/bin && cp etc/*.conf /etc/snort

Edite o arquivo /etc/snort/pulledpork.conf.

Para baixar as regras via linha de comando é necessário o oinkcode. O mesmo pode ser obtido através do site do snort. Após feito o cadastro através no link https://www.snort.org/signup. Acesse o seguinte endereço https://www.snort.org/account/oinkcode para ter acesso ao oinkcode.

Com o oinkcode, edite a linha 20 de:

rule_url=https://www.snort.org/reg-rules/|snortrules-snapshot.tar.gz|<oinkcode>

Para:

rule_url=https://www.snort.org/reg-rules/|snortrules-2905.tar.gz|<seu oinkcode>

Comente as linhas:

#rule_url=https://www.snort.org/reg-rules/|opensource.gz|<oinkcode>
#rule_url=https://rules.emergingthreats.net/|emerging.rules.tar.gz|open
#rule_url=https://rules.emergingthreats.net/|etpro.rules.tar.gz|<et oinkcode>

Altere as seguintes variáveis:

rule_path=/etc/snort/rules/snort.rules
local_rules=/etc/snort/rules/local.rules
sid_msg=/etc/snort/sid-msg.map
config_path=/etc/snort/snort.conf

No caso do Debian Squeeze ainda não há regras destinadas ao mesmo, portanto comente as demais linhas. Caso esteja utilizando alguma versão que possua suporte a regras compiladas (dynamic rules) basta alterar as variáveis "sostub_path" e "distro":

sostub_path=/etc/snort/rules/so_rules.rules
distro=<distribuição utilizada>

Descomente e altere as seguintes linhas:

snort_version=2.9.0.5
enablesid=/etc/snort/enablesid.conf
disablesid=/etc/snort/disablesid.conf
modifysid=/etc/snort/modifysid.conf
dropsid=/etc/snort/dropsid.conf

Edite os arquivos acima para que as regras sejam habilitadas, desabilitadas, modificadas ou realizado descarte.

Na variavel "ips_policy" é definido o nível de filtragem que será adotado pelo ips. Existem 3 níveis:

1. Connectivity - Nesse modo há menor impacto, pois adota um perfil conservador para não afetar o desempenho da rede;
2. Balanced - Adota uma política normal de segurança (menor impacto). Sugere-se iniciar a utilização desse nível;
3. Security - Essa política adota medidas mais drásticas, podendo ter alto impacto na rede. Pode haver um grande numero de descarte de pacotes e consequentemente problemas com alguns serviços, porém  a rede se tornará mais segura.

Para realizar a atualização basta executar a seguinte linha de comando:

# /usr/local/bin/pulledpork.pl -c /etc/snort/pulledpork.conf -T -l