em Sem categoria

Configurando Snort

Neste artigo abaixo publicado no VivaOLinux.com.br voc? poder? conferir com subir um servidor IDS com o Snort.

Artigo recomendado.

Autor: Jefferson Estanislau da Silva
Data: 18/09/2003

Introdu??o

Quero come?ar dizendo que este artigo foi iniciado antes de saber da meteria da revista Hacker 11.

Esse meu artigo ? sobre IDS (Intrusion Detection System) ou Sistemas de Detec??o de Intrusos, inicialmente vou falar sobre o Snort, que ? considerado o melhor dentre os softwares livres utilizados para este servi?o.

O Snort ? uma das ferramentas mais utilizadas atualmente em servidores espalhados pela Internet, ele ? mantido por Brian Caswell e Marty Roesch e al?m de seu uso em Linux, est? dispon?vel tamb?m para Windows NT, podendo ser baixado em suas duas vers?es no site:
http://www.snort.org
O Snort possui tr?s modalidades principais, s?o elas:
Sniffer
Packet Logger
Network Intrusion Detection System.
O Sniffer ? o respons?vel por leitura de pacotes que trafegam pela rede. O Packet Logger registra os pacotes do disco e o Network Intrusion Detection System ? o que tem a configura??o mais complexa, permitindo que o Snort analise o tr?fego da rede e detecte tentativas de invas?o, por rules definidas pelo usu?rio.

? sobre est? ?ltima que eu irei falar.

Instala??o

O Snort vem com a maioria dos distros Linux no mercado, mas se voc? quiser, pode baixar a vers?o mais atual dele no site www.snort.org.

Presumindo que voc? fez o download para o diret?rio /usr/src, vamos descompact?-lo. Lembre-se que voc? deve estar como root.

# tar xvzf snort.x.x.tar.gz

Agora vamos configur?-lo.

# ./configure -prefix=/usr/local/snort
# make
# make install

Observe acima que ele foi instalado no diret?rio /usr/local/snort.

Agora, crie em /etc um diret?rio para o Snort:

# mkdir /etc/snort

Vamos mover o arquivo snort.conf de seu diret?rio atual para o que criamos:

# mv /usr/local/snort/snort.conf /etc/snort

Iremos alterar agora algumas linhas do arquivo snort.conf:

# mcedit /etc/snort/snort.conf

OBS: eu gosto de utilizar o mcedit, mas voc? poder? utilizar o de sua prefer?ncia.

Localize as seguintes linhas no final do arquivo:

# Path to your rules files (this can be a relative path)
var RULE_PATH ../rules

Edite-a desta forma:

# Path to your rules files (this can be a relative path)
#var RULE_PATH ../rules

A seguir, modifique as entradas de:

include $RULE_PATH/bad-traffic.rules

Para este formato:

include bad-traffic.rules

Salve o arquivo e feche o editor.

Agora devemos copiar as rules que est?o em seu diret?rio atual para o que criamos.

# cp /usr/local/snort/rules/*.* /etc/snort

Estas rules s?o as regras que o Snort utilize para identificar e interpretar os ataques realizados em sua m?quina pelos invasores.

Para finalizar, devemos agora criar um diret?rio para armazenar os logs dos ataques.

# mkdir /var/log/snort

Executando o Snort

J? estamos prontos para executar o Snort para ele come?ar a monitorar o sistema.

Primeiro entre no seguinte diret?rio:

# cd /usr/loca/snort/bin

Agora execute a linha de comando:

# ./snort -c /etc/snort/snort.conf -i eth0 &

Estamos startando o Snort para que ele leia o arquivo de configura??o que n?s editamos com a op??o -c e mandando ele ficar escutando as conex?es realizadas em eth0 com a op??o -i. O & ? para ele ser executado em background.

Por default ele armazena os logs dos ataques em /var/log/snort, n?o sendo necess?rio evidenci?-lo.

Agora basta fazer verifica??es na pasta de logs para ver se sua m?quina est? sendo atacada.

Para maiores informa??es sobre esta e as outras modalidades no Snort, consulte sua documenta??o em:
http://snort/docs/writing_rules/index.html

Conclus?o

N?o sou um perito em seguran?a, mas neste pouco tempo em que tenho utilizado o Snort, j? deu para perceber que ela, juntamente com o Honeypot, s?o realmente ?timas ferramentas para monitora??o e estudo de ataques.

Na parte 2 deste artigo, irei falar sobre o Honeypot para complementar o uso desta ferramenta.

Por: Jefferson Estanislau da Silva
Analista de Sistemas

——————————————————————————–

http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=383

Voltar para o site