Où trouver les paquets
- Sur rpmforge (paquet snort-rep) – mais c'est une très vieille version (2.2 semble-t-il) et beaucoup de dépendances dont une en conflit avec le dépôt EPEL (perl-Compress-Raw-Zlib) ;
- Ici : http://www.snort.org/snort-downloads/ – mais on ne trouve pas de paquet pour la version x86_64 ;
- Ici : http://vscojot.free.fr/dist/snort/.
Installation à partir des paquets trouvés sur vscojot.free.fr
Installation de snort
mkdir -p /usr/local/src/snort # la version majeure redhat/centos/scientificlinux installée sur la machine RH_VERSION=$(uname -r | grep --color=never -o 'el[0-9][0-9]*' | sed -e 's/el\([0-9][0-9]*\)/\1/') cd /usr/local/src/snort wget -nd http://vscojot.free.fr/dist/snort/snort-2.9.4.1/RHEL${RH_VERSION}/$(uname -i)/snort-2.9.4.1-24.el${RH_VERSION}.$(uname -i).rpm wget -nd http://vscojot.free.fr/dist/snort/snort-2.9.4.1/RHEL${RH_VERSION}/$(uname -i)/libpcap1-1.2.1-12.el${RH_VERSION}.$(uname -i).rpm wget -nd http://vscojot.free.fr/dist/snort/snort-2.9.4.1/RHEL${RH_VERSION}/$(uname -i)/libdnet-progs-1.12-7.el${RH_VERSION}.$(uname -i).rpm wget -nd http://vscojot.free.fr/dist/snort/snort-2.9.4.1/RHEL${RH_VERSION}/$(uname -i)/libdnet-1.12-7.el${RH_VERSION}.$(uname -i).rpm wget -nd http://vscojot.free.fr/dist/snort/snort-2.9.4.1/RHEL${RH_VERSION}/$(uname -i)/daq-2.0.0-15.el${RH_VERSION}.$(uname -i).rpm rpm -Uvh * # Ça marche !
Mise en place des règles pour snort
Les règles pour snort sont sur le site de snort (http://www.snort.org/snort-rules). On peut prendre la version GPL (version avec des règles en nombre assez réduit) + les règles qui ne sont téléchargeables qu'à la condition de disposer d'un compte sur le site (enregistrement libre) et seulement pendant 30 jours (les mises à jour).
On reprend les règles communautaires (GPL)
cd /usr/local/src/snort wget -nd https://s3.amazonaws.com/snort-org/www/rules/community/community-rules.tar.gz tar xvzf community-rules.tar.gz mv community-rules/*.rules /etc/snort/rules/ mv community-rules/sid-msg.map /etc/snort/
Installation des règles registered
cd /usr/local/src/snort mkdir snortrules wget -nd https://www.snort.org/downloads/2205 tar xvzf snortrules-snapshot-2940.tar.gz mv etc/* /etc/snort mv so_rules /etc/snort mv preproc_rules /etc/snort mv rules/* /etc/snort/rules
Après ça, il faut encore modifier le fichier /etc/snort/snort.conf
et inclure le fichier communautaire, donc ajouter la ligne suivante :
include $RULE_PATH/community.rules
modifs à faire dans /etc/snort/snort.conf pour que ça marche
diff --git a/snort.conf b/snort.conf index b3622c6..7d3aef1 100644 --- a/snort.conf +++ b/snort.conf @@ -101,17 +101,17 @@ ipvar AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64. # Path to your rules files (this can be a relative path) # Note for Windows users: You are advised to make this an absolute path, # such as: c:\snort\rules -var RULE_PATH ../rules -var SO_RULE_PATH ../so_rules -var PREPROC_RULE_PATH ../preproc_rules +var RULE_PATH /etc/snort/rules +var SO_RULE_PATH /etc/snort/so_rules +var PREPROC_RULE_PATH /etc/snort/preproc_rules # If you are using reputation preprocessor set these # Currently there is a bug with relative paths, they are relative to where snort is # not relative to snort.conf like the above variables # This is completely inconsistent with how other vars work, BUG 89986 # Set the absolute path appropriately -var WHITE_LIST_PATH ../rules -var BLACK_LIST_PATH ../rules +var WHITE_LIST_PATH /etc/snort/rules +var BLACK_LIST_PATH /etc/snort/rules ################################################### # Step #2: Configure the decoder. For more information, see README.decode @@ -244,13 +244,13 @@ config paf_max: 16000 ################################################### # path to dynamic preprocessor libraries -dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ +dynamicpreprocessor directory /usr/lib64/snort_dynamicpreprocessor/ # path to base preprocessor engine -dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so +dynamicengine /usr/lib64/snort_dynamicengine/libsf_engine.so # path to dynamic rules libraries -dynamicdetection directory /usr/local/lib/snort_dynamicrules ################################################### # Step #5: Configure preprocessors
Références
- http://doc.ubuntu-fr.org/snort – Doc d'installation de snort avec quelques conseils intéressants.
- http://rules.emergingthreats.net/open/ – Des règles additionnelles à utiliser.