Configurar o Snort


Configurar o Snort




Após você instalar o snort:



agora vamos testar : 

bash# snort -l /var/log/snort
-c /etc/snort/snort.conf -u snort -g snort

(tudo aí acima na mesma linha)

Se ele der uma mensagem de erro e voltar pro shell é porque ficou faltando alguma coisa ainda, reveja os passos anteriores e tente novamente, mas se ele não mostrou nenhuma mensagem de erro é porquê funcionou. Pressione para parar o snort.

Agora vamos para o mais interessante , bloqueio de ataques. Se você não colocou a opção -enable-flexresp quando compilou o snort, essas opções não vão funcionar.

Abra o /etc/snort/snort.conf novamente e adicione as seguintes linhas no início do arquivo:

Var RESETAR resp:rst_all,icmp_all

Agora, para testar você pode abrir o arquivo /etc/snort/rules/web-iis.rules e procurar pela regra que detecta o famoso ataque "unicode", procure por "cmd.exe" : 

alert tcp $EXTERNAL_NET any ->
$HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access";

(tudo aí acima na mesma linha)

flow:to_server,established; content:"cmd.exe"; nocase; classtype:web-application-attack; sid:1002; rev:5;)

e adicione no final, o commando que reseta a conexão , ficando assim : 

alert tcp $EXTERNAL_NET any ->
$HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-IIS cmd.exe access"; flow:to_server,established; content:"cmd.exe";
nocase; classtype:web-application-attack; sid:1002; rev:5;$RESETAR;)

(tudo aí acima na mesma linha)

Você pode adicionar o $RESETAR no final de cada regra que você achar interessante, principalmente aquelas que normalmente aparecem no seu log. Só preste atenção para não bloquear outros tipos de acessos, que muitas vezes são detectados pelo snort como ataque, mas que na realidade não são.

Você pode utilizar o snort para bloquear acesso a determinados sites que você não quer que a sua rede acesse, criando regras que procurem por palavras chave do tipo : ".mp3" ,"sexo", etc...

Exemplo : 

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:"Tentativa de baixar MP3";content:".mp3";nocase;$RESETAR;)

(tudo aí acima na mesma linha)

agora execute o Snort : 

bash# snort -l /var/log/snort -c /etc/snort/snort.conf -u snort -g snort -D



Daí pra frente depende da sua imaginação ...


basta configurar o arquivo:




snort.conf



que se encontra dentro do diretorio:


/etc/snort/


sempre lembrando que voce deverar estar como root!!


abracos e ateh a proxima


Tiarlis Kochenborger

Postado por Tiarlis Kochenborger on sexta-feira, 19 de março de 2010 às 20:45 0 comentários
Marcadores: ,
 
2009 LINUX & SW-Free Nenhun Direito Reservado
Votem no 8p