Prévia do material em texto
Instalar e Configurar o Snort Compartilhado por: Fábio Nascimento. In: Ulife. Em: 24/05/2017. Link de acesso: https://mediacdns3.ulife.com.br/PAT/Upload/1906288/InstalandoeconfigurandooSnort_ 20170524195320.docx>. Histórico Lançada em 1998 por Martin Roesch, a ferramenta Snort (gratuita e de código- livre) foi uma das primeiras em seu segmento a realizar análise de tráfego em tempo real e registro dos pacotes de forma leve, utilizando recursos mínimos de processamento. À medida que o Snort foi amadurecendo, foi se tornando o padrão em IDS. Mais tarde, em 2001, Martin Roesch fundou a Sourcefire com o intuito de atender a toda a demanda oferecida pela versão comercial do Snort. Pelo fato de as ameaças encontradas requererem uma resposta dinâmica, a Sourcefire reforça a segurança com o Time de Pesquisa de Vulnerabilidades Sourcefire (Vulnerability Research Team – VRT), que é uma equipe formada por especialistas em segurança que proativamente descobrem vulnerabilidades, malwares, atividades hackers e outras atividades maliciosas na rede. Em consequência, são criadas regras para o Snort identificar os pacotes suspeitos. Snort O Snort é uma ferramenta de código aberto que atua como IDS via rede (também chamado de NIDS – Network Intrusion Detection System), combinando inspeções em protocolos e assinaturas e, ainda, podendo identificar o ataque através do comportamento anormal do tráfego da rede. A forma de detecção dos ataques é baseada em regras (também chamadas de assinaturas A eficiência da ferramenta se deve à equipe VRT, que atua ativamente para detectar as vulnerabilidades e criar as regras para proteger a rede. As regras são lançadas mensalmente. Na versão gratuita é possível obter as regras com um mês de atraso com relação às regras disponíveis na versão comercial. Nas primeiras versões, o Snort possuía apenas a função de sniffer1. Com os aprimoramentos, passou a gerar logs dos pacotes coletados para uma melhor compreensão e, com suas funções descentralizadas, obteve a função de IDS. 1 Sniffer é um analisador de pacotes que possui a característica de coletar pacotes que trafegam na interface de rede do computador para fins de depuração Instalando o SNORT v. 2.9.9.0 1. Baixar o instalador no site https://www.snort.org/ 2. Aceitar os termos de licença 3. Instalar todas as opções disponíveis 4. Manter o caminho do diretório de instalação padrão. https://www.snort.org/ 5. Finalizar a instalação fechando a caixa de diálogo. 6. Ao finalizar observar que para o sistema IDS funcionar temos que instalar também o WinPcap versão 4.1.1 ao superior. 7. Instalar o WinPcap 8. Aceitar os termos de instalação 9. Iniciar o processo de instalação 10. Finalizado a instalação do Winpcap 11. Em seguida instalar o Notepad++ a. Escolher o idioma para instalação 12. Concordar com o termos para a instalação 13. Manter o caminho padrão para instalação 14. Manter os compenentes básicos selecionados 15. Não instale nenhum componente adicional 16. Após o processo de instalação 17. Finalizar a instalação do editor de texto. 18. Por último instalar o WinRar para descompactar snortrules-snapshot- 2990.tar. 19. Após a instalação abrir o prompt de comando e alterar para o diretório \Snort\bin 20. Executar o comando “snort –V” para verificar a versão instalada. 21. Executar o comando “snort –W” para verificar o reconhecimento da interface de rede. 22. Observar o número de interfaces no primeiro campo “Index”. 23. Extrair e copiar os diretórios da abaixo para o diretório C:\Snort 24. No diretório c:\Snort\etc abrir com o Note++ o arquivo snort.conf 25. Editar o arquivo conforme o arquivo snort.conf_template.pdf 26. Criar no diretório snort\rules os arquivos white.list e black.list (sem extensão). 27. Executar o comando snort -i 1 –c c:\snort\etc\snort.conf -T (a tela abaixo indica que a compilação ocorreu com sucesso) 28. Em \snort\rules\ editar o arquivo “rules.local” declarando as seguintes linhas no final do arquivo: alert icmp any any -> any any (msg:"testando o ICMP alerta"; sid:1000001;) alert udp any any -> any any (msg:"testando o UDP alerta"; sid:1000002;) alert tcp any any -> any any (msg:"testando o TCP alerta"; sid:1000003;) 29. Salvar o arquivo após a inclusão das três regras para teste. 30. Executar o comando para testar os alertar para os pacotes ICMP, UDP e TCP. snort -i 1 -c c:\snort\etc\snort.conf -A console Referências https://www.snort.org/ http://www.devmedia.com.br/detectando-e-prevenindo-intrusos-com-snort- revista-infra-magazine-6/24820 https://www.snort.org/ http://www.devmedia.com.br/detectando-e-prevenindo-intrusos-com-snort-revista-infra-magazine-6/24820 http://www.devmedia.com.br/detectando-e-prevenindo-intrusos-com-snort-revista-infra-magazine-6/24820