Snort es una herramienta muy conocida por el administrador de sistemas y utilizada por defecto en la práctica totalidad de distribuciones Linux orientadas a trabajar como encaminadores (SmoothWall, IpCop, Untangle...)
Los usos y posibilidades de esta herramienta son realmente variados aunque lo más común es utilizarlo como "packet logger" o sniffer, con volcado a texto plano o bbdd MySQL/PostgreSQL.
Algunos de sus usos básicos son:
# snort -v (-vd)
Funciona como un sniffer realizando un volcado por pantalla de todo el tráfico (la opción -vd muestra más información).
# snort -l ruta_fichero_log -d
Ejecuta snort y guardar el log en la ruta indicada en el formato predeterminado (binario). Para visualizar este fichero se utiliza la opción -r
# snort -r ruta_fichero_log
Para una configuración inicial con reglas de detección básicas, se pueden descargar las establecidas por la comunidad desde el site oficial de la aplicación: http://www.snort.org/pub-bin/downloads.cgi, en formato comprimido tar.gz.
Para habilitar estas reglas se copiarán (descomprimidas) al directorio de configuración de snort (/etc/snort/rules/) y editaremos el fichero de configuración del programa asegurándonos de que son visibles:
# vi /etc/snort/snort.conf
...
var RULE_PATH rules
include $RULE_PATH/sql.rules
include $RULE_PATH/tcp.rules
...
Ahora nos queda cargar la nueva configuración:
# snort -c /etc/snort/snort.conf
Suscribirse a:
Entradas (Atom)