Snort Instalação e configuração - Gerência e Segurança de Redes

Prévia do material em texto

IFCE – Instituto Federal de Educação,
Ciência e Tecnologia do Ceará.
Tecnologia em Telemática
Disciplina Gerência e Segurança de Redes
Prof. Luciano Martins
Prática de Snort
Alunos:
Sidney José Rodrigues Lima
20132173000359
Werbbet Carlos Veríssimo
20162173000298
Tauá – CE
2019
Atividade
1) Instalar e informar o passo a passo para o snort.
Para instalar o snort inicialmente deve-se ter todas estas dependências listadas
a baixo: 
• gcc 
• make
• libpcre3-dev
• zlib1g-dev 
• libluajit-5.1-dev
• libpcap-dev
• openssl
• libssl-dev
• libnghttp2-dev 
• libdumbnet-dev
• bison
• flex
• libdnet
O comando para instalação dessas dependências é o seguinte: 
sudo apt-get install -y gcc make libpcre3-dev zlib1g-dev libluajit-5.1-dev
libpcap-dev openssl libssl-dev libnghttp2-dev libdumbnet-dev bison flex
libdnet
Figura 01: Instalação das dependências snort.
Após instalar todas as dependências listadas acima, o próximo passo é instalar
esta outra dependência DAQ (Data Aquisition), pois ela é necessária para fazer
requisições a captura de pacotes. Os comandos para instalação dessa
dependência é o seguinte:
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
tar -zxvf daq-2.0.6.tar.gz
cd daq-2.0.6
./configure && make && make install
Figura 02: Instalação da dependência DAQ.
Após instalar e configurar a dependência DAQ o próximo passo é configurar as
interfaces do S.O. para evitar que os pacotes de tamanho maior do que o padrão
sejam truncados. Para isso é necessário abrir um arquivo com algum editor de
texto e inserir os seguintes comandos:
sudo vi /etc/network/interfaces
post-up ethtool -K eth0 gro off
post-up ethtool -K eth0 lro off
Figura 03: abrindo o arquivo de interfaces com o editor nano.
https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
Figura 04: inserindo comandos de configuração de interface de rede.
Com a configuração da interface de rede realizada, podemos agora instalar de fato o
snort. Os comandos necessário para sua instalação são os seguintes:
wget https://www.snort.org/downloads/snort/snort-2.9.13.tar.gz
tar xvzf snort-2.9.13.tar.gz
cd snort-2.9.13
./configure --enable-sourcefire –enable-sourcefire && make && make install
sudo ldconfig
sudo ln s /usr/local/bin/snort /usr/sbin/snort
Figura 05: comandos para instalação do snort.
https://www.snort.org/downloads/snort/snort-2.9.13.tar.gz
Após ter instalado o snort digite o seguinte comando abaixo para validar a
instalação: 
/usr/sbin/snort -V
Figura 06: comando para validar o snort.
Após a instalação do snort iremos agora configurar alguns diretórios necessários,
os comandos para essas configurações são os seguintes: 
mkdir /etc/snort
mkdir /etc/snort/preproc_rules
mkdir /etc/snort/rules
mkdir /var/log/snort
mkdir /usr/local/lib/snort_dynamicrules
touch /etc/snort/rules/white_list.rules
touch /etc/snort/rules/black_list.rules
touch /etc/snort/rules/local.rules
Figura 07: comandos de configuração de diretórios.
Após as configurações dos diretórios iremos agora dar permissão a alguns
diretórios, arquivos e alterar algumas propriedades dos arquivos, os seguintes
comando serão utilizados:
chmod -R 5775 /etc/snort/
chmod -R 5775 /var/log/snort/
chmod -R 5775 /usr/local/lib/snort
sudo chmod -R 5775 /var/log/snort/archived_logs
chmod -R 5775 /usr/local/lib/snort_dynamicrules/
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules
Figura 08: comandos de configuração de diretórios e permissões.
Com as permissões dadas para os arquivos e diretórios, o próximo passo é mover
alguns arquivos de configurações para a pasta padrão do snort, os comados para
mover os arquivos são os seguintes: 
cd ~/snort_src/snort-2.9.13/etc/
sudo cp *.conf* /etc/snort
sudo cp *.map /etc/snort
sudo cp *.dtd /etc/snort
cd ~/snort_src/snort-2.9.13/src/dynamic-preprocessors/build/usr/local/lib/
snort_dynamicpreprocessor/
sudo cp * /usr/local/lib/snort_dynamicpreprocessor/
Figura 09: comandos para copiar os arquivos para pasta do snort.
Para finalizarmos a configuração do snort iremos agora alterar algumas
configurações no arquivo snort.conf, os seguintes comandos serão utilizados:
sed -i "s/include \$RULE\_PATH/#include \$RULE\_PATH/" 
/etc/snort/snort.conf
Figura 10: comando para configuração do arquivo snort.conf.
Quando usando esse comando iremos agora abrir o arquivo snort.conf com algum
editor de texto e inserir os seguintes comandos nas linhas desse arquivo:
ipvar HOME_NET 194.168.15.0/24
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules/iplists
var BLACK_LIST_PATH /etc/snort/rules/iplists
include $RULE_PATH/local.rules
Vale ressaltar que no ipvar o ip pode ser de sua escolha, nesse caso ultilizei o
seguinte ip 194.168.15.0/24.
Com a configuração do arquivo salve-o e utilize o seguinte comando para validar
todas as regras:
sudo snort -T -c /etc/snort/snort.conf -i eth0
Figura 11: comando para validar todas das regras.
Se tudo ocorrer bem e todos os módulo e configurações forem instalados
corretamente o resultado será o seguinte: 
Figura 12: resultado final da instalação do snort.
Após termos realizados a instalação de todas as dependências e configurações
do snort podemos então utiliza-lo correntemente. O arquivo de configuração com
as regras snort.conf estará disponível em anexo juntamente com a entrega deste
trabalho. 
REFERÊNCIAS
• Snort: Guia Completo da Pré-Instalação à Configuração. Disponível em:
<https://e-tinet.com/linux/snort-guia-instalacao/> Acesso em: 02 Dezembro
de 2019. 
• Snort 2.9.15 fast install script?. Disponível em:
<https://stackoverflow.com/questions/58379550/snort-2-9-15-fast-install-
script> Acesso em: 02 Dezembro de 2019. 
• Get Started. Disponível em: <https://www.snort.org/> Acesso em: 02
Dezembro de 2019.