Repository 32bit  Forum
Repository 64bit  Wiki

Installazione di Snort(tm) su Slackware 10.0: differenze tra le versioni

Da Slacky.eu.
Riga 1: Riga 1:
[[Category:Scritti misti]]
+
[[Category:Scritti misti-10]]

Versione delle 13:55, 22 apr 2011


Indice

Installazione di Snort 2.2.0 su SlackWare 10.0 Mini-Howto

Perchè questo Howto

Questo brevissimo testo nasce dal fatto che ho trovato una sostanziale discrepanza tra l'installazione descritta nel documento INSTALL, contenuto nella directory snort-2.2.0/etc e ciò che il comando make install realmente fa. A fine installazione non vengono create le directory /etc/snort e /var/long, inoltre non sono installati alcuni file fondamentali per il funzionamento di Snort in modalità Packed Logger e NIDS. Un simile comportamento di make install potrebbe essere attribuito a tre fattori:

  1. Ho letto in modo incompleto la documentazione di installazione;
  1. L'ignoranza di particolari procedure;
  1. Si vogliono preservare rules e configurazioni preesistenti.

Io avvaloro la terza, chiunque può mandarmi una e-mail che avalli uno o entrambi gli altri punti. Detto più del dovuto, passiamo a descrivere il procedimento di installazione.

Cosa ho fatto di tanto speciale

A dire il vero il mio operato non ha nulla di speciale, si tratta solo di creare directory mancanti e trasferire dei file in alcune di esse. Dopo aver scaricato da http://www.snort.org il file snort-2.2.0.tar.gz e assunto le vesti di root ho dato il seguente comando:

tar -zxvpf snort-2.2.0.tar.gz

(-p per preservare permessi e propietario dei file estratti)

Per la compilazione ho seguito fedelmente ciò che è scritto nel file INSTALL, cioè:

cd snort-2.2.0

./configure

make

make check

make install

Se si ha necessità di rimuovere i file binari, i file oggetto ed i file creati dal configure nella directory contente i sorgenti, magari per una nuova installazione su di una architettura differente usare i comandi:

make clean

make distclean

Completata la procedura di installazione -almeno sul mio computer- Snort funziona solo in modalità Sniffer. Per poterlo usare anche nelle altre due modalità ho dovuto operare così:

mkdir /var/log/snort

mkdir /etc/snort

mkdir /etc/snort/rules

cp ./etc/* /etc/snort

cp ./rules/* /etc/snort/rules

L'uso grezzo del comando cp comporta il trasferimento di alcuni file superflui che ho rimosso con:

rm /etc/snort/Makefil*

rm /etc/snort/rules/Makefil*

In questo modo sono riuscito a rendere funzionante Snort in modalità NIDS e Packed Logger, dico quasi perchè sono state necessarie delle modifiche nel file etc/snort/snort.conf per rendere Snort completamente operativo.

Modifiche al file snort.conf

Nonostante il lavoro fin qui fatto, continuavo a non riuscire ad utilizzare Snort in modalità NIDS: lo "stderr" del programma diceva di non riuscire a trovare i "rules" che avevo copiato. Ho deciso quindi di operare nel seguente modo:

emacs etc/snort/snort.conf

Una volta dentro al file di configurazione ho inanzitutto adattato RULE_PATH alle mie esigenze:

var RULE_PATH /etc/snort/rules

ed ho scelto le regole che mi servivano commentandole o decommentandole con il solito #. Ho ritenuto opportuno attivare anche :

INCLUDE $RULE_PATH/web.attacks.rules 

INCLUDE $RULE_PATH/shellcode.rules

Infine (anche se non strettamente necessario) ho adattato HOME_NET alle mie esigenze di rete, in altre parole ho decommentato

var HOME_NET 10.0.0.0/24

(chiaramente ho usato il subnetting IP della mia rete casalinga) ed ho commentato

var HOME_NET any

Tutto qua!

Snort sembra funzionare bene.

Autore  Giovanni Castiglione

gio_castiglio at aliceposta dot it 
Strumenti personali
Namespace

Varianti