Compilar snort tiene pocas dependencias, sólo libpcap y pcre. Así que los pasos tradicionales para compilarlo:
./configure --prefix=/usr/local make make install #Como root
Ahora hay que bajarse las reglas. Sourcefire, presenta varios servicios de subscrición (de pago, sirve para financiar el desarrollo de Snort), una serie de reglas que puede bajarse los usuarios registrados (gratuitas, van algunos días retrasados con respecto a las de subscrición). Lo que se hace es bajarlas, y situarlas es un directorio adecuado (mirar este enlace).
Aparte de las reglas oficiales de SourceFire, existen una serie de reglas con licencia GPL que también se puede usar Snort. Son las llamadas Community Rules, y por último las de bleedingsnort, reglas más experimentales.
En mi caso lo que hago es lo siguiente. Crear el directorio /usr/local/etc/snort, donde voy a situar las reglas y la configuración. Las reglas las instalo en un subdirectorio rules, el fichero snort.conf - fichero de configuración - y modificarlo de manera adecuada (poner una variable que defina los paths a las reglas, definir la longitud de captura - debido a que al querer usar el sistema unified de log, necesito que me guarde todo el paquete.
El análisis de los logs lo quiero usar unos scripts en Python que he programado (originalmente, el objetivo de los mismos es sustituir los snort con conexión a base de datos en un despliegue de ossim). Por otra parte siempre se puede mirar el programa oinkmaster, pero eso lo dejo para otro post, cuando me lea la documentación.
Technorati Tags: snort
No hay comentarios:
Publicar un comentario