Snort - The Open Source Network Intrusion Detection System

cvs

O Snort é uma sistema de IDS (Intrusion Detect System) que funciona tanto pra manter a segurança como para espiar o que se passa pela sua rede. É um prático sniffer que fica "farejando" a rede em busca de pacotes suspeitos e informa nos arquivos de log tudo o que está acontecendo.

[ Hits: 24.584 ]

Por: Thiago Alves em 20/10/2004 | Blog: http://www.seeufosseopresidente.com.br


Introdução



Nesse artigo vamos abordar uma simples forma de se instalar o Snort e deixá-lo rodando para ir verificando o que se passa na rede.

Ele vai funcionar da forma mais simples possível, sem interagir com nenhum outro programa.

Download do Snort


Você pode achar o Snort para se baixar no próprio site http://www.snort.org. Existe a versão 2.2.0 e a 2.1.3, neste artigo vamos usar a versão 2.2.0.

# wget -c http://www.snort.org/dl/snort-2.2.0.tar.gz

São aproximadamente 2MB, deve demorar um pouquinho dependendo da conexão.

Instalando o Snort


Com o tarball em mãos, digite os seguintes comandos:

# tar zxvf snort-2.2.0.tar.gz
# cd snort-2.2.0


Agora estamos prontos para instalar, certifique-se que você tenha a libpcap instalada, caso não tenha, baixe-a na seguinte URL:

# wget -c http://www.tcpdump.org/release/libpcap-0.8.3.tar.gz

Para instalar é simples:

# ./configure
# make
# make install
# ldconfig


Agora vamos continuar a instalação do Snort da forma simples:

# ./configure
# make
# make install


Vamos criar o diretório para que os logs sejam armazenados:

# mkdir /var/log/snort

Iniciando o Snort


Primeiro vamos arrumar o diretório do Snort pra gente poder usar a regras e o arquivo de configuração que vem nele próprio:

# mv snort-2.2.0 snort

Agora edite o snort/etc/snort.conf e descomente a seguinte linha:

output alert_syslog: LOG_AUTH LOG_ALERT

Agora vamos iniciar o Snort:

# snort -D -c snort/etc/snort.conf -A fast

Agora o Snort vai rodar como daemon e vai ficar logando todas as ocorrências no arquivo /var/log/snort/alert. Se por exemplo, alguém rodar um portscan no seu IP, você vai receber algumas mensagem no arquivo alert da seguinte maneira:

09/29-14:46:53.372042 [**] [1:1420:11] SNMP trap tcp [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:162
09/29-14:46:53.375268 [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39111 -> 192.168.1.2:705
09/29-14:46:58.423072 [**] [1:1226:4] X11 xopen [**] [Classification: Unknown Traffic] [Priority: 3] {TCP} 192.168.1.100:41967 -> 192.168.1.2:6000
09/29-14:46:58.463005 [**] [1:1228:6] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 192.168.1.100:39124 -> 192.168.1.2:1

Conclusões


Bom, agora o Snort já vai estar funcionando de forma satisfatória pra controlar o que está ocorrendo externamente contra o seu computador. Dessa maneira o Snort não estará funcionando com 100% de sua capacidade, mas vai ajudar um pouco.

Um simples artigo para aumentar o seu controle na rede. Com mais tempo vou escrevendo outros artigos ilustrando melhores formas de trabalhar com o Snort.

Para mais leituras, acesse o site do próprio programa: http://www.snort.org e leia a documentação. Dentro do source tem um diretório doc/ onde contém vários arquivos README ensinando outras formas de uso, as quais abordarei mais pra frente.

Espero ter ajudado um pouco mais e qualquer dúvida, erro ou correção, posta aí um comentário ou mande um e-mail pra gente dar um jeito de consertar.

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor

Kernel 2.6 hacks

Aplicando o patch do grsecurity no kernel 2.4

Tornando o OpenBSD stable

Tornando seu Apache mais seguro com o ModSecurity

Instalação do CentOS 5.3

Leitura recomendada

Armitage: a nova interface gráfica do Metasploit

Rede Tor para iniciantes

Instalação e configuração do Snort Inline (modo IPS), Baynard2, Mysql e PulledPork no Debian Squeeze

Segurança para leigos

Enjaulamento de usuário no sistema operacional

  
Comentários
[1] Comentário enviado por naoexistemais em 20/10/2004 - 02:39h

Caro cvs,

Esse artigo não tem novidade nenhuma, você poderia ter falado sobre ACID, Snort com Guardian, Snort com MySQL e etc.

Na boa apenas deveria ter incrementado com alguma ferramenta, falou.

0 0
[2] Comentário enviado por y2h4ck em 20/10/2004 - 11:12h

cvs,

garanto que o artigo irá ajudar ao pessoal que não tem conhecimento de ferramentas como snort a começar a analisar algumas possibilidades para aprender um pouco mais.

[]s


0 0
[3] Comentário enviado por cvs em 20/10/2004 - 11:45h

um artigo simples, pro pessoal que não sabe ou não conhece já ir conhecendo o snort, mas tá parecendo mais uma dica do que um artigo.

0 0
[4] Comentário enviado por bouncer em 20/10/2004 - 12:10h

que pode ser isso...aqui

ATAL ERROR: Unable to open rules file: snort/etc/snort.conf or snort/etc/snort/etc/snort.conf

0 0
[5] Comentário enviado por agk em 20/10/2004 - 12:13h

Bem a partir desse artigo já deu até vontade de instalar o snort.

0 0
[6] Comentário enviado por wronieri em 20/10/2004 - 14:36h

Artigo muito bom para quem sabia nada ou ja tinha ouvido falar mas nao tinha instalado.... cvs a partir destes vc poderia escrever , digamos, uma série de artigo relacionados ao snort tenho certeza que seriam muito bons, fica ai a sugestao.

0 0
[7] Comentário enviado por engos em 20/10/2004 - 17:25h

Hehehe, quer dizer que você também entrou na moda dos artigos dicas, neh? :)

Bem, acho que o pessoal já comentou o que eu queria falar... to na espera do próximo.

[]s

0 0
[8] Comentário enviado por naoexistemais em 20/10/2004 - 18:44h

Caramba Engos você só reclama, parece mulher grávida nunca esta contente e satisfeito com nada. Só falta você também reclamar dos meus artigos.....(risos).

0 0
[9] Comentário enviado por y2h4ck em 20/10/2004 - 19:03h

Bouncer o problema e que vc nao adicionou corretamente o path para os arquivos de regras do snort ... edite o seu snort.conf e corrija o path.

0 0
[10] Comentário enviado por tucs em 21/10/2004 - 10:34h

Artigos sobre Snort tem aos montes pela Web, e deveriam ser mencionados.

http://www.linuxsecurity.com.br/info/IDS/slackware_acid_fwsam_flexresp.pdf

http://www.underlinux.com.br/modules.php?name=Sections&op=viewarticle&artid=167

Mas ter uma noticia aki no VOL faz com que ninguem tenha que ir procurar em outro site, e estariamos atraindo mais visitantes.

Eduardo Assis

0 0
[11] Comentário enviado por Seph.Stalk em 29/04/2006 - 05:26h

Realmente ficou meio "vazio" o artigo.

Mas de qualquer forma, já é uma introdução, para quem não tem muito conhecimento de segurança, mas quer se aprofundar no assunto.

0 0
[12] Comentário enviado por lipecys em 20/02/2008 - 16:48h

Este artigo somado com o "Snort avançado" ficou excelente.
Parabéns.

0 0
[13] Comentário enviado por removido em 17/10/2009 - 09:19h

Artigo Legal, estou começando a estudar o SNORT agora, não tenho muito conhecimento dele mas ja ajuda.

0 0
[14] Comentário enviado por removido em 17/10/2009 - 22:41h

Snort, Porquinho Ninja.

0 0
[15] Comentário enviado por caradepastel em 18/11/2009 - 09:42h

muito legal falou pouco mas entendi tudo

0 0

Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Agora temos uma assistente virtual no fórum!!! (246)

Links importantes de usuários do VOL (3)

Artigos

Enviar mensagem ao usuário trabalhando com as opções do php.ini

Meu Fork do Plugin de Integração do CVS para o KDevelop

Compartilhando a tela do Computador no Celular via Deskreen

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

Dicas

Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil

Cups: Mapear/listar todas as impressoras de outro Servidor CUPS de forma rápida e fácil

Criando uma VPC na AWS via CLI

Multifuncional HP imprime mas não digitaliza

Dica básica para escrever um Artigo.

Tópicos

Dificuldade para renderizar vídeo no kdenlive (6)

xubuntu sem sons de eventos (3)

Erro ao iniciar serviço samba4 como novo dc em um ambiente com ad [RES... (9)

tem problema em instalar o Chrome no tails? (7)

Copiar uma pasta 100% fiel a original? (5)

Top 10 do mês

Scripts

[C/C++] reverse shell na marra!

[Outros] Dicas e truques Matematica Básica

[C/C++] criptografia de modo simples

[C/C++] intdb - gerador de wordlist numerica

[C/C++] genpass - gerador de senhas seguras