Snort

De Biblioteca Unix

Conteúdo

Snort

Sobre

Snort é um software livre de detecção de intrusão para rede (NIDS) desenvolvido inicialmente por Martin Roesch, capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes IP.

Debian Lenny 5.0

Instalando os Pacotes necessários

É bem simples, no início pensei que fosse ser problemático, mas no Debian basta instalar os seguintes pacotes:

# apt-get install snort

você será questionado sobre a subrede que você deseja definir como local, coloque-a com a máscara no formato CIDR.

Configurações Básicas

Para mais configurações, sugerimos realizar o comando de reconfiguração do Debian:

# dpkg-reconfigure snort

que vai permitir escolher a interface, um e-mail para emitir relatórios, quantidade de ocorrências necessárias para que um alerta entre no relatório, dentre outras coisas.

Alertando sobre tráfego P2P

Vamos adicionar as seguintes regras no arquivo local.rules do snort:

# vim /etc/snort/rules/local.rules
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"TO_BAN"; flow:to_server,established; content:"|13|BitTorrent protocol"; depth:20; sid:2181; rev:2;)

estas 2 regras vão filtrar o protocolo do BitTorrent. Para juntarmos com o fail2ban, vamos fazer com que o snort escreva um log que seja compreendido por ele, adicione a seguinte linha ao seu snort.conf:

# vim /etc/snort/snort.conf
...
output alert_csv:  /var/log/snort/p2p timestamp,dst
...

e reinicie o snort:

# /etc/init.d/snort restart


--Brivaldo 01h44min de 24 de agosto de 2010 (UTC)

Ferramentas pessoais