Snort é um sistema de detecção de intrusos (IDS), o qual usa seus sensores e um conjunto de regras para monitorar todo o tráfego da rede e gerar alertas de possíveis ameaças à segurança de seus sistemas. Com a ajuda do plugin SnortSam, será possível automatizar bloqueios de endereços IP em seu firewall.

Neste tutorial será mostrado como instalar e configurar o Snort. Como este pacote só gera alertas de ameaças, será necessária a ajuda do plugin SnortSam para recebê-los e executar uma regra de firewall para bloquear o endereço IP do computador mal-intencionado.

Para visualizar os alertas do Snort utilizaremos uma interface amigável de um sistema Web chamado BASE (Basic Analysis and Security Engine), conectada a uma base de dados em MySQL.

Abaixo, o sistema operacional e versões dos pacotes utilizados:

• S.O. → Debian Squeeze 6.0.5
• Snort → 2.9.2.2
• SnortSam → 2.70
• Firewall → IPtables
• BASE → 1.4.5
• MySQL → 5.1

Para proceder a instalação dos pacotes foi utilizado um servidor com duas placas de rede atuando como firewall/roteador, recebendo Internet por uma placa e distribuindo para a rede interna através da outra placa.

Endereços IPs do firewall:

• eth0 = 10.0.0.5 - obtido por DHCP = Internet (WAN)
• eth1 = 192.168.1.1 - IP fixo - Rede interna (LAN)

De forma resumida, para utilizar o Snort com o SnortSam, será necessário:

1. Baixar o código fonte do Snort;
2. Aplicar patch SnortSam sobre o fonte do Snort;
3. Compilar e instalar Snort;
4. Baixar código fonte do SnortSam;
5. Compilar e instalar SnortSam.