A detecção de intrusão em uma rede é importante para a segurança de TI. Sistema de detecção de intrusão utilizado para a detecção de tentativas ilegais e maliciosas na rede. Snort é um conhecido sistema de detecção de intrusão de código aberto. A interface Web (Snorby) pode ser usada para uma melhor análise de alertas. O Snort pode ser usado como um sistema de prevenção de intrusões com iptables/pf firewall. Neste artigo, vamos instalar e configurar um sistema IDS de código aberto snort.
Snort Installation
Prerequisite
Data Acquisition library (DAQ) é usado pelo snort para chamadas abstratas a bibliotecas de captura de pacotes. Ela está disponível no site do snort. O processo de download é mostrado na seguinte captura de tela.
Extraí-lo e executar ./configurar, fazer e fazer comandos de instalação para a instalação do DAQ. Entretanto, DAQ requer outras ferramentas, portanto o script ./configure irá gerar os seguintes erros .
flex e bison error
libpcap error.
Por isso primeiro instale flex/bison e libcap antes da instalação do DAQ que é mostrada na figura.
Instalação da biblioteca de desenvolvimento libpcap é mostrada abaixo
Após a instalação das ferramentas necessárias, novamente execute ./configure script que irá mostrar a seguinte saída.
make and make install commands result é mostrado nas seguintes telas.
Após a instalação bem sucedida do DAQ, agora vamos instalar snort. O download usando wget é mostrado na figura abaixo.
Extrair pacote comprimido usando abaixo o comando dado.
#tar -xvzf snort-2.9.7.3.tar.gz
Criar diretório de instalação e definir o parâmetro de prefixo no script configure. Também é recomendado ativar o sinalizador sourcefire para Monitoramento do Desempenho do Pacote (PPM).
#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire
Configurar script gera erro devido a falta de bibliotecas de desenvolvimento libpcre-dev , libdumbnet-dev e zlib.
erro devido a biblioteca libpcre ausente.
erro devido a biblioteca dnet (libdumbnet) ausente.
configurar script gera erro devido a biblioteca zlib ausente.
Instalação de todas as bibliotecas de desenvolvimento requeridas é mostrada nas próximas telas.
# aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev
Após a instalação das bibliotecas acima requeridas para snort, novamente execute os scripts de configuração sem nenhum erro.
Executar make &Fazer comandos de instalação para a compilação e instalação do snort em /usr/local/snort directory.
#make
#make install
Finalmente snort rodando de /usr/local/snort/bin directory. Atualmente ele está em modo promisc (modo dump de pacotes) de todo o tráfego na interface eth0.
Dump de tráfego pela interface snort é mostrado na seguinte figura.
Regras e Configuração do Snort
Instalação do snort a partir do código fonte regras necessárias e configuração, portanto agora vamos copiar as regras e configuração no diretório /etc/snort. Nós criamos scripts bash únicos para regras e configuração de configuração. Ele é usado para seguir a configuração do snort.
- Criação do usuário snort para o serviço snort IDS no linux.
- Criação de diretórios e arquivos sob o diretório /etc para a configuração do snort.
- Configuração de permissão e cópia de dados do diretório etc do código fonte do snort.
- Remover # (sinal de comentário) do caminho de regras no arquivo snort.conf.
ipvar HOME_NET 192.168.1.0/24 # LAN sideipvar EXTERNAL_NET !$HOME_NET # WAN side
