http://info2aaz.blogspot.

com

Mise en place d’un sonde IPS SNORT_INLINE
http://snort-inline.sourceforge.net/

 Installation de l’environnement
Installation de la distribution (ici CentOS) Configuration d’une adresse IP et de l’accès Internet

 Installation des prés requis
Liste des prés requis : mysql-server httpd php php-mysql pcre pcre-devel Iptables Libnet Mysql-devel Mysql Gcc-c++ Gcc Libpcap Libpcap-devel Iptables-devel Libdnet Libstdc++44-devel

 Installation de SNORT_INLINE
Téléchargement de SNORT_INLINE Tar –xvf snort_inline-XXXX.tar.gz Création d’un dossier /etc/snort_inline Création d’un dossier /etc/snort_inline/rules Cp snort_inline-XXXX./etc/* /etc/snort_inline Dans le fichier snort_inline.conf Var RULE_PATH /etc/snort_inline/rules Cp snort_inline-XXXX/etc/classification.config /etc/snort_inline/rules Cp snort_inline-XXXX/etc/reference.config /etc/snort_inline/rules

http://info2aaz.blogspot.com

Création d’un dossier de log Mkdir /var/log/snort_inline

 Configuration de MySQL
mysqladmin –u root password password mysql – root –p create database snort; Création des tables de la base SNORT_INLINE mysql -u root -p snort < snort_inline-XXXX/schemas/create_mysql Configuration du fichier snort_inline.conf vi /etc/snort_inline/snort_inline.conf Après la ligne avec "output alert_fast: snort_inline-fast", ajoutez: output database: log, mysql, user=snortuser password=snortpassword dbname=snort host=localhost

 Compilation de SNORT_INLINE
Dans le dossier SNORT_INLINE ./configure –with-mysql make make install

 Installation des RULES
Téléchargement des règles snort (snort-snapshot) de la même version que le SNORT_INLINE installée (2.6 pour 2.6 par exemple). Cela peut poser des problèmes de compatibilité, dut à des arborescence différentes. Copie des rules (snort-snapshot/rules/*) dans le dossier /etc/snort_inline/rules

 Lancement de SNORT_INLINE
Chargement du module du noyau ip_queue

http://info2aaz.blogspot.com

modprobe ip_queue lsmod | grep ip_queue Configuration d’iptables iptables -A INPUT -j QUEUE Vérification des règles iptables –L Lancement de SNORT_INLINE snort_inline -Q -v -c /etc/snort_inline/snort_inline.conf -l /var/log/snort_inline Vous devez alors obtenir ceci :
--== Initialization Complete ==-,,_ -*> Snort_Inline! <*o" )~ Version 2.6.1.5 (Build 59) inline '''' By Martin Roesch & The Snort Team: http://www.snort.org/team.html Snort_Inline Mod by William Metcalf, Victor Julien, Nick Rogness, Dave Remien, Rob McMillen and Jed Haile (C) Copyright 1998-2007 Sourcefire Inc., et al. Rules Engine: SF_SNORT_DETECTION_ENGINE Version 1.6 <Build 11> Preprocessor Object: Preprocessor Object: Preprocessor Object: Preprocessor Object: Preprocessor Object: Not Using PCAP_FRAMES SF_DNS Version 1.0 <Build 2> SF_FTPTELNET Version 1.0 <Build 10> SF_SSH Version 1.0 <Build 1> SF_SMTP Version 1.0 <Build 7> SF_DCERPC Version 1.0 <Build 4>

Journal rapide tail -f /var/log/snort_inline/snort_inline-fast Journal complet tail -f /var/log/snort_inline/snort_inline-full

 Création du bridge
Le trafic entre dans la sonde et le pare feu Netfilter filtre les paquets et les envois pour traitement à la « sonde », grâce à la librairie libpq

http://info2aaz.blogspot.com

La sonde compare les paquets avec les rules de SNORT_INLINE Marques les paquets suspects en DROP Renvoie les paquets ok et ceux en DROP sont jetés Permettre au 2 cartes de se transmettre des paquets, il faut aller dans : Joe/etc/sysctl.conf Et changer la ligne : Net.ipv4.ip_forward=1 Créer le fichier /etc/sysconfig/network-scripts/ifcfg-br0 avec le contenu suivant : DEVICE=br0 TYPE=Bridge IPADDR=[@IP] NETMASK=[netmask] ONBOOT=yes Ce Bridge est constitué des interfaces eth0 et eth1. Le fichier /etc/sysconfig/network-scripts/ifcfg-eth0 : DEVICE=eth0 TYPE=Ethernet BRIDGE=br0 ONBOOT=yes Le fichier /etc/sysconfig/network-scripts/ifcfg-eth1 : DEVICE=eth1 TYPE=Ethernet BRIDGE=br0 ONBOOT=yes Ces commandes impliquent donc que les interfaces eth0 et eth1 ne possèdent plus d’adresse IP, l’adresse IP de la machine devient donc l’adresse IP du Bridge. Redémarrer le réseau avec la commande : /etc/init.d/network restart

Sign up to vote on this title
UsefulNot useful