Instalar e Configurar o Snort

Prévia do material em texto

Instalar e Configurar o Snort 
Compartilhado por: Fábio Nascimento. In: Ulife. Em: 24/05/2017. Link de acesso: 
https://mediacdns3.ulife.com.br/PAT/Upload/1906288/InstalandoeconfigurandooSnort_
20170524195320.docx>. 
Histórico 
Lançada em 1998 por Martin Roesch, a ferramenta Snort (gratuita e de código-
livre) foi uma das primeiras em seu segmento a realizar análise de tráfego em 
tempo real e registro dos pacotes de forma leve, utilizando recursos mínimos de 
processamento. À medida que o Snort foi amadurecendo, foi se tornando o 
padrão em IDS. 
Mais tarde, em 2001, Martin Roesch fundou a Sourcefire com o intuito de atender 
a toda a demanda oferecida pela versão comercial do Snort. Pelo fato de as 
ameaças encontradas requererem uma resposta dinâmica, a Sourcefire reforça 
a segurança com o Time de Pesquisa de Vulnerabilidades Sourcefire 
(Vulnerability Research Team – VRT), que é uma equipe formada por 
especialistas em segurança que proativamente descobrem vulnerabilidades, 
malwares, atividades hackers e outras atividades maliciosas na rede. Em 
consequência, são criadas regras para o Snort identificar os pacotes suspeitos. 
Snort 
O Snort é uma ferramenta de código aberto que atua como IDS via rede (também 
chamado de NIDS – Network Intrusion Detection System), combinando 
inspeções em protocolos e assinaturas e, ainda, podendo identificar o ataque 
através do comportamento anormal do tráfego da rede. A forma de detecção dos 
ataques é baseada em regras (também chamadas de assinaturas 
A eficiência da ferramenta se deve à equipe VRT, que atua ativamente para 
detectar as vulnerabilidades e criar as regras para proteger a rede. As regras são 
lançadas mensalmente. Na versão gratuita é possível obter as regras com um 
mês de atraso com relação às regras disponíveis na versão comercial. 
Nas primeiras versões, o Snort possuía apenas a função de sniffer1. Com os 
aprimoramentos, passou a gerar logs dos pacotes coletados para uma melhor 
compreensão e, com suas funções descentralizadas, obteve a função de IDS. 
 
 
 
 
1 Sniffer é um analisador de pacotes que possui a característica de coletar pacotes que 
trafegam na interface de rede do computador para fins de depuração 
Instalando o SNORT v. 2.9.9.0 
1. Baixar o instalador no site https://www.snort.org/ 
 
 
 
2. Aceitar os termos de licença 
 
 
 
 
 
 
 
 
 
 
 
3. Instalar todas as opções disponíveis 
 
 
 
 
 
 
 
 
 
 
 
 
4. Manter o caminho do diretório de instalação padrão. 
https://www.snort.org/
 
 
 
 
 
 
 
 
 
 
 
 
 
5. Finalizar a instalação fechando a caixa de diálogo. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
6. Ao finalizar observar que para o sistema IDS funcionar temos que 
instalar também o WinPcap versão 4.1.1 ao superior. 
 
 
 
 
 
 
 
 
 
 
 
 
7. Instalar o WinPcap 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
8. Aceitar os termos de instalação 
 
 
 
 
 
 
 
 
 
 
 
 
9. Iniciar o processo de instalação 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
10. Finalizado a instalação do Winpcap 
 
 
 
 
 
 
 
 
 
 
 
 
11. Em seguida instalar o Notepad++ 
 
a. Escolher o idioma para instalação 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
12. Concordar com o termos para a instalação 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
13. Manter o caminho padrão para instalação 
 
 
 
 
 
 
 
 
 
 
 
 
 
14. Manter os compenentes básicos selecionados 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
15. Não instale nenhum componente adicional 
 
 
16. Após o processo de instalação 
 
 
 
 
17. Finalizar a instalação do editor de texto. 
 
 
18. Por último instalar o WinRar para descompactar snortrules-snapshot-
2990.tar. 
 
19. Após a instalação abrir o prompt de comando e alterar para o diretório 
\Snort\bin 
 
 
 
 
 
20. Executar o comando “snort –V” para verificar a versão instalada. 
 
21. Executar o comando “snort –W” para verificar o reconhecimento da 
interface de rede. 
 
22. Observar o número de interfaces no primeiro campo “Index”. 
 
23. Extrair e copiar os diretórios da abaixo para o diretório C:\Snort 
 
 
24. No diretório c:\Snort\etc abrir com o Note++ o arquivo snort.conf 
 
 
 
 
 
 
 
 
 
 
 
 
25. Editar o arquivo conforme o arquivo snort.conf_template.pdf 
26. Criar no diretório snort\rules os arquivos white.list e black.list (sem 
extensão). 
27. Executar o comando snort -i 1 –c c:\snort\etc\snort.conf -T (a tela 
abaixo indica que a compilação ocorreu com sucesso) 
 
28. Em \snort\rules\ editar o arquivo “rules.local” declarando as seguintes 
linhas no final do arquivo: 
alert icmp any any -> any any (msg:"testando o ICMP alerta"; sid:1000001;) 
alert udp any any -> any any (msg:"testando o UDP alerta"; sid:1000002;) 
alert tcp any any -> any any (msg:"testando o TCP alerta"; sid:1000003;) 
 
29. Salvar o arquivo após a inclusão das três regras para teste. 
30. Executar o comando para testar os alertar para os pacotes ICMP, UDP e 
TCP. 
snort -i 1 -c c:\snort\etc\snort.conf -A console 
 
 
 
Referências 
https://www.snort.org/ 
http://www.devmedia.com.br/detectando-e-prevenindo-intrusos-com-snort-
revista-infra-magazine-6/24820 
 
https://www.snort.org/
http://www.devmedia.com.br/detectando-e-prevenindo-intrusos-com-snort-revista-infra-magazine-6/24820
http://www.devmedia.com.br/detectando-e-prevenindo-intrusos-com-snort-revista-infra-magazine-6/24820