GuiguiAbloc

Suite de l’installation du NIDS SNORT.

Prérequis :

Vous devez disposer de Tcpdump et de Libpcap sur votre machine.

Un coup d’apt-get , Swup, Yum ou compilation a la mimine vous mettra aux normes.

La compil’ de Snort ne devrait pas vous poser de soucis.

Comme nous allons l’utiliser avec Prelude, n’oubliez pas de le passer en argument :

$ ./configure –enable-prelude –with-mysql

(bien sur, je vous passe la création de la base MySQL…)

Créer le répertoire /etc/snort/rules (s’il n’existe pas) et télécharger les règles sur le site de SNORT.

Pour info, il existe plusieur sortes de fichiers de règles pour SNORT (entendre par règle, les filtres d’analyse):

Communautaire, Certifié par SNORT, avec ou sans enregistrement, payant ou non.

Je ne peux que vous conseiller de prendre au moins les règles communautaire et celles ne nécessitant qu’un enregistrement sur le site de Snort.

Une fois récupérées, décompressez les dans /etc/snort/rules.

Pour vous aider, je vous joint mon propre fichier snort.conf.

Bien sur, modifier le à votre convenance…

snort

Il ne vous reste plus qu’à tester :

/sbin/ifconfig eth4 up
/sbin/ifconfig eth4 -arp
/usr/local/bin/snort -c /etc/snort/snort.conf -i eth4 &

Si vous décidez d’utiliser Barnyard (qui fait office de tampon entre Snort et MySQL afin de soulager votre NIDS), il vous faut créer un fichier /etc/snort/barnyard.conf (après avoir compilerBarnyard forcément )

Voici mon fichier barnyard.conf :

barnyard.conf

Et un exemple de lancement de l’ensemble :

#!/bin/bash
/sbin/ifconfig eth4 up
/sbin/ifconfig eth4 -arp
/usr/bin/snort -Dq -u snort -g snort -c /etc/snort/snort.conf -i eth4
/usr/local/bin/barnyard -c /etc/snort/barnyard.conf -g /etc/snort/gen-msg.map -s /etc/snort/sid-msg.map -d /var/log/snort -f snort.log -w /etc/snort/bylog.waldo &

Pour vous aider dans l’installation et le paramétrage, quelques sites :

http://www.trustonme.net/didactels/187.html

http://www.howtoforge.com/intrusion_detection_base_snort

Bon courage