Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • 2AaZ - Tutorial - Mise en Place Snort - Inline

    Загружено:

    timothe_hugot
    2K просмотров4 страницы
    Voici un petit tutoriel permettant de mettre en place une sonde IPS SNORT_INLINE. Ce tutoriel à était mis en place sur une distribution CentOS.

    Оригинальное название

    2AaZ - Tutorial - Mise en Place Snort_inline

    Авторское право

    © Attribution Non-Commercial No-Derivs (BY-NC-ND)

    Доступные форматы

    DOC, PDF или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ
    Voici un petit tutoriel permettant de mettre en place une sonde IPS SNORT_INLINE. Ce tutoriel à était mis en place sur une distribution CentOS.

    Авторское право:

    Attribution Non-Commercial No-Derivs (BY-NC-ND)
    Скачайте в формате DOC, PDF или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    2K просмотров4 страницы

    2AaZ - Tutorial - Mise en Place Snort - Inline

    Загружено:

    timothe_hugot
    Voici un petit tutoriel permettant de mettre en place une sonde IPS SNORT_INLINE. Ce tutoriel à était mis en place sur une distribution CentOS.

    Авторское право:

    Attribution Non-Commercial No-Derivs (BY-NC-ND)
    Скачайте в формате DOC, PDF или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 4

    http://info2aaz.blogspot.

    com

    Mise en place d’un sonde IPS SNORT_INLINE

    http://snort-inline.sourceforge.net/

     Installation de l’environnement

    Installation de la distribution (ici CentOS)


    Configuration d’une adresse IP et de l’accès Internet

     Installation des prés requis

    Liste des prés requis :


    mysql-server Iptables Libpcap
    httpd Libnet Libpcap-devel
    php Mysql-devel Iptables-devel
    php-mysql Mysql Libdnet
    pcre Gcc-c++ Libstdc++44-devel
    pcre-devel Gcc

     Installation de SNORT_INLINE

    Téléchargement de SNORT_INLINE

    Tar –xvf snort_inline-XXXX.tar.gz

    Création d’un dossier /etc/snort_inline


    Création d’un dossier /etc/snort_inline/rules

    Cp snort_inline-XXXX./etc/* /etc/snort_inline

    Dans le fichier snort_inline.conf

    Var RULE_PATH /etc/snort_inline/rules


    Cp snort_inline-XXXX/etc/classification.config /etc/snort_inline/rules
    Cp snort_inline-XXXX/etc/reference.config /etc/snort_inline/rules
    http://info2aaz.blogspot.com

    Création d’un dossier de log

    Mkdir /var/log/snort_inline

     Configuration de MySQL

    mysqladmin –u root password password


    mysql – root –p
    create database snort;

    Création des tables de la base SNORT_INLINE

    mysql -u root -p snort < snort_inline-XXXX/schemas/create_mysql

    Configuration du fichier snort_inline.conf

    vi /etc/snort_inline/snort_inline.conf

    Après la ligne avec "output alert_fast: snort_inline-fast", ajoutez:

    output database: log, mysql, user=snortuser password=snortpassword


    dbname=snort host=localhost

     Compilation de SNORT_INLINE

    Dans le dossier SNORT_INLINE

    ./configure –with-mysql
    make
    make install

     Installation des RULES

    Téléchargement des règles snort (snort-snapshot) de la même version que


    le SNORT_INLINE installée (2.6 pour 2.6 par exemple). Cela peut poser
    des problèmes de compatibilité, dut à des arborescence différentes.

    Copie des rules (snort-snapshot/rules/*) dans le dossier


    /etc/snort_inline/rules

     Lancement de SNORT_INLINE

    Chargement du module du noyau ip_queue


    http://info2aaz.blogspot.com

    modprobe ip_queue
    lsmod | grep ip_queue
    Configuration d’iptables

    iptables -A INPUT -j QUEUE

    Vérification des règles

    iptables –L

    Lancement de SNORT_INLINE

    snort_inline -Q -v -c /etc/snort_inline/snort_inline.conf -l
    /var/log/snort_inline

    Vous devez alors obtenir ceci :

    --== Initialization Complete ==--

    ,,_ -*> Snort_Inline! <*-


    o" )~ Version 2.6.1.5 (Build 59) inline
    '''' By Martin Roesch & The Snort Team: http://www.snort.org/team.html
    Snort_Inline Mod by William Metcalf, Victor Julien, Nick Rogness,
    Dave Remien, Rob McMillen and Jed Haile
    (C) Copyright 1998-2007 Sourcefire Inc., et al.

    Rules Engine: SF_SNORT_DETECTION_ENGINE Version 1.6 <Build 11>


    Preprocessor Object: SF_DNS Version 1.0 <Build 2>
    Preprocessor Object: SF_FTPTELNET Version 1.0 <Build 10>
    Preprocessor Object: SF_SSH Version 1.0 <Build 1>
    Preprocessor Object: SF_SMTP Version 1.0 <Build 7>
    Preprocessor Object: SF_DCERPC Version 1.0 <Build 4>
    Not Using PCAP_FRAMES

    Journal rapide

    tail -f /var/log/snort_inline/snort_inline-fast

    Journal complet

    tail -f /var/log/snort_inline/snort_inline-full

     Création du bridge

    Le trafic entre dans la sonde et le pare feu Netfilter filtre les paquets et les
    envois pour traitement à la « sonde », grâce à la librairie libpq
    La sonde compare les paquets avec les rules de SNORT_INLINE
    http://info2aaz.blogspot.com

    Marques les paquets suspects en DROP


    Renvoie les paquets ok et ceux en DROP sont jetés

    Permettre au 2 cartes de se transmettre des paquets, il faut aller dans :

    Joe/etc/sysctl.conf

    Et changer la ligne :

    Net.ipv4.ip_forward=1

    Créer le fichier /etc/sysconfig/network-scripts/ifcfg-br0 avec le contenu


    suivant :
    DEVICE=br0
    TYPE=Bridge
    IPADDR=[@IP]
    NETMASK=[netmask]
    ONBOOT=yes

    Ce Bridge est constitué des interfaces eth0 et eth1.

    Le fichier /etc/sysconfig/network-scripts/ifcfg-eth0 :

    DEVICE=eth0
    TYPE=Ethernet
    BRIDGE=br0
    ONBOOT=yes

    Le fichier /etc/sysconfig/network-scripts/ifcfg-eth1 :

    DEVICE=eth1
    TYPE=Ethernet
    BRIDGE=br0
    ONBOOT=yes

    Ces commandes impliquent donc que les interfaces eth0 et eth1 ne


    possèdent plus d’adresse IP, l’adresse IP de la machine devient donc
    l’adresse IP du Bridge.

    Redémarrer le réseau avec la commande :

    /etc/init.d/network restart

    Вам также может понравиться