nov 122010
 

snortInstallare ed utilizzare Snort su Ubuntu

Author: Mike Walton

Snort è un potente IDS che nelle ultime versioni può essere utilizzato anche come IPS. Snort è liberamente scaricabile e utilizzabile sia nell’ambito personale che nel mondo degli affari. In realtà Snort è usato da molte aziende come opzione molto efficace per il loro business,  non solo perché è gratuito ma sopratutto perchè è uno dei più potenti IDS sul mercato, se si sa cosa si sta facendo mentre lo si configura.




Snort può essere utilizzato come un programma che si esegue quando si vuole su un personal computer o può essere configurato per eseguire all’avvio del sistema operativo e proteggere tutti i computer della rete locale da attacchi.

Se si desidera utilizzare Snort per proteggere l’intera rete dovrà essere posto sulla stessa rete della vostra connessione internet. Diciamo per esempio che abbiamo una connessione internet commerciale e la vogliamo proteggere utilizzando Snort. Il computer su cui gira Snort ha bisogno di essere posizionato tra il modem ed il router, in questo modo si è sicuri che Snort sara in grado di controllare ogni pezzo di traffico che entra nella nostra rete, e questo è il miglior punto dove individuare eventuali attacchi.

Installazione:

Stiamo per  installare Snort su un computer con Ubuntu. Ubuntu è un sistema operativo gratuito che è disponibile liberamente per il download, facendo di questo IDS un apparecchio completamente gratuito, tranne il costo del computer. Ci sono due modi per installare Snort su un distribuzione Ubuntu e la più semplice è farlo attraverso una linea di comando. Se il computer è aggiornato è sufficiente digitare:

sudo apt-get install snort

Questo scaricherà e installerà l’ultima versione di Snort sul computer tramite linea di comando. Non appena si è fatto sarete pronti per l’uso di Snort. Ma se si ottiene un errore o non si può installare Snort tramite riga di comando è sempre possibile visitare il sito Web di Snort e scaricare la versione più recente, ma assicurarsi che si sta scaricando il file tar.gz e seguire le loro istruzioni per l’installazione di Snort da sorgenti.

Una volta installato è possibile eseguire Snort semplicemente come uno sniffer ed avere tutti i pacchetti di rete acquisiti e registrati, ma questo creerà un enorme file di log che si dovrebbe poi visualizzare. Snort funziona così bene a causa del suo uso di regole per sapere quale tipo di traffico registrare e quale traffico è da ignorare. La definizione delle regole è oltre lo scopo di questo articolo introduttivo, sappiate che è possibile personalizzarle in modo da farle funzionare con il proprio ambiente.

Come funziona Snort dipende dalle flag che si specificano quando si lancia Snort da riga di comando.

Possibili funzionalità (dal man)

-v View packet headers at the console.
-d View application data with IP headers.
-D Run Snort as a daemon.
-e Show data-link layer headers.
-l Run in packet logger mode.
-h Log information relative to the home network.
-b Log information to a single binary file in the logging directory.
-r Read packets contained in a log file. N Disable packet logging.
-c Specifies which file will be used to provide a ruleset for intrusion detection.
-i Specifies which port you would like Snort to look at when running.

Come si può vedere da sopra, abbiamo alcune opzioni diverse quando si tratta di flag utilizzate con Snort. Iniziamo con la visualizzazione delle sole intestazioni dei pacchetti IP utilizzando il comando

sudo snort -v.

Assicuratevi di usare il comando sudo prima di Snort in modo che sia eseguito in modalità amministrativa, questo è necessario per aprire la porta appropriata. Ora, poiché non si è specificata una interfaccia per snort da controllare useremo la eth0 che è porta di default, ma  io non sto usando la porta eth0 in questo momento mentre scrivo questo articolo sto usando la porta wlan0 che è la mia scheda wireless. WDobbiamo quindi aggiungere il flag -i  per dire a Snort di controlalre il traffico su quelal scheda di rete,

sudo snort -v -i wlan0.

Ora Snort verrà eseguito e visualizzerà sullo schermo ogni intestazione dei pacchetti che arrivano in tutta la mia wlan0 o wireless card, come si può vedere questo è molto utile se si desidera monitorare tutto il traffico su tutta la rete, ma molto poco pratico se si vuole proteggere la vostra rete. Per terminare la appliaction una volta che è iniziato si può semplicemente premere CTRL + C per terminare il programma e tornare di nuovo ad un prompt dei comandi.

Abbiamo discusso l’installazione di Snort in fretta e poi eseguire alcuni comandi di base Snort per ottenere qualche output del programma sul nostro schermo. Restate sintonizzati per il prossimo articolo sulla configurazione di regole di Snort e l’esecuzione di Snort come vero IDS con allarmistica.

Per una buona presentazione consiglio anche:

About the Author

Mike Walton, Founder of www.mikenetpc.com a place for free articles, reviews, and downloads, has been in the IT field since 1999 and has been working with network security since 2002.

Popular Posts:

flattr this!

  4 Responses to “Introduzione a Snort”

  1. However if you want snort alone to actually drop packets (rather than just alert) you will need to compile from source with inline support.

    It looks like the Suricata project (completely opensource and sponsored by the US dept of homeland security) is going to be the major IPS of the future.

 Leave a Reply

(required)

(required)


*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>