bec = Network Intrusion Detection mit Linux

Installation von Snort

Voraussetzung libpcap, System-Packet installieren oder Source von http://ee.lbl.gov/libpcap.tar.Z holen und installieren.

Snort Sourcen von http://www.clark.net/~roesch/security.html oder http://gd.tuwien.ac.at/infosys/security/snort holen.

Packet auspacken, Dokumentation lesen, kompilieren, installieren


tar xzvf snort-1.6.tar.gz

cd snort-1.6

less README

less INSTALL

./configure

make

make install

Regeldatei (snort-lib) erstellen/anpassen

Wichtig HOME_NET auf zu überwachendes (lokales) Netzsegment stellen!
Eventuell alternatives Regelset verwenden, Z. B. arachNIDS von http://www.whitehats.com/ (z. Z. ca. 270 Signaturen) oder Snort Rules von http://snort.rapidnet.com/(z. Z. mehr als 1000 Signaturen)
oder Snort Regeln selber schreiben ausführliche Dokumentation unter http://www.clark.net/~roesch/snort_rules.html

Snort starten

Übersicht aller Parameter snort -?
Logverzeichnis erstellen mkdir /var/log/snort
Erster lokaler Test snort -c snort-lib
Produktionsbetrieb im „Daemon Mode“ snort -D -h 192.168.1.0/24 -c snort-lib -b

Inhaltsübersicht Begriffsbestimmung NIDSysteme für Linux Installation von Snort Anwendungen von Snort Einsatz von Snort Netzwerküberwachung ist sinnvoll