snortattack

nuovi script di installazione per debian : www.snortattack.org/install-snort.tar.gz

1. Installa Debian minimale kernel 2.6.x Questo script è compatibile con debian, release 3.1 e 4.0 Testato su debian 3.1r05a, 3.1r5 e debian 4.0r0 Settare la connessione alla rete internet Settare i repository di apt (debian stable) Lanciare con privilegi di root apt: # apt-get update (OPZIONALE) # apt-get upgrade (OPZIONALE)
2. Scarica il pacchetto snortattack.tar.gz $ cd / $ wget http://www.snortattack.org/install-snort.tar.gz $ tar -zxvf install-snort.tar.gz $ cd /snortattack I file devono stare in questa directory: /snortattack/
3. Apri con un editor install.conf e setta le variabili $ nano install.conf
4. Lancia apt.sh o utilizza i binari satici (come utente root) $ su root $ (immetti la password) # cd /snortattack # sh apt.sh (devi avere la repository debian stabile in /etc/apt/sources.list) (deb http://ftp.it.debian.org/debian stable main contrib non-free) Questo script installa i pacchetti dalla repository ufficiale di debian, proseguire confermando le opzioni di default. Se si incorre in errori prova a cercare il pacchetto tramite: # apt-cache search paketname e installalo con: # apt-get install packetname per forzare e fixare errori usa: # apt-get -f install Se desideri utilizzare i binary di snort forniti da snortattack.org : # sh snort-static.sh Devi avere il kernel con queste opzioni abilitate : Packet socket: mmapped IO Puoi scegliere di aggiornare il kernel cambiando la variabile UPDATE_KERNEL="y" in install.conf Non ancora testato! Da usare soltanto se il kernel è minore della versione 2.6.18
5. Lancia download-pkts.sh # sh download-pkts.sh Scarica i pacchetti dai mirror forniti da snortattack se ci sono errori cercali su internet, verifica la versione e scarica la stessa versione cercata dallo script.
6. Lancia install-pkts.sh # sh install-pkts.sh Aggiorna il kernel e installa i pacchetti . Alla fine dovresti vedere : ,,_ -*> Snort_Inline! <*- o" )~ Version 2.4.5 (Build 29) '''' By Martin Roesch & The Snort Team: http://www.snort.org/team.html (C) Copyright 1998-2005 Sourcefire Inc., et al. Snort_Inline Mod by William Metcalf, Victor Julien, Nick Rogness, Dave Remien, Rob McMillen and Jed Haile NOTE: Snort's default output has changed in version 2.4.1! The default logging mode is now PCAP, use "-K ascii" to activate the old default logging mode. ,,_ -*> Snort! <*- o" )~ Version 2.6.0.2 (Build 85) inline '''' By Martin Roesch & The Snort Team: http://www.snort.org/team.html (C) Copyright 1998-2006 Sourcefire Inc., et al.
7. Lancia mysql-setup.sh # sh mysql-setup.sh Importa correttamente il database di snort mysql.
8. Lancia bridge-setup.sh # sh bridge-setup.sh (non farlo durate una sessione ssh) Crea il bridge (br0) con due interfacce di rete (eth0,eth1)
9. Lancia snort-config.sh # sh snort-config.sh Sistema il file di configurazione di snort e scarica le ultime regole tramite oinkmaster Devi registrarti su snort.org per ottenere l'oinkcode! Howto --> www.snortattack.it/oink/ita.html Non preoccuparti se la versione di clamav è 0.88.7 La patch di snort non funziona ancora con le versioni 0.90.x
10. Lancia snort-try.sh # sh snort-try.sh Inserisce il module ipqueue e immette le regole di iptables. Lancia snort o snort_inline
11. Lancia stats-ips.sh # sh stats-ips.sh Visualizza lo stato del bridge e la coda di iptable. Connetti un cavo cross al tuo pc e prova a navigare, verifica che la dimensione della coda aumenti . Dovresti vedere : Iptables queue : Chain INPUT (policy ACCEPT 24946 packets, 4782K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 13M 8646M QUEUE all -- any any anywhere anywhere 0 0 ACCEPT all -- any any anywhere anywhere Chain OUTPUT (policy ACCEPT 55290 packets, 7393K bytes) pkts bytes target prot opt in out source destination Network Interface status: eth0: negotiated 100baseTx-FD, link ok eth1: negotiated 100baseTx-FD, link ok
12. Lancia snort-auto.sh # sh snort-auto.sh Crea un nuovo file di partenza /etc/rc2.d/S999snortattack.sh Installazione terminata! Rimani aggiornato con questi script :
13. Lancia visual-install.sh (opzionale) # sh visual-install.sh Installa base e pmgraph vai nel browser http://indirizzoip/base/ (NON ANCORA TESTATO) segui i passaggi e vai avanti vai nel browser http://indirizzoip/usage/
14. Inserisci un falso/positivo in oinkmaster.conf utilizza disable-sid.sh $ sh disable-sid.sh
15. Per aggiornare le regole utilizza snort-update.sh # sh rules-update.sh Nb. Snort.org accetta un download ogni 10 minuti.
16. Inserisce nel crontabutili comandi, utilizza crontab-setup.sh # sh crontab-setup.sh Inserisce nel crontab : 0 0 * * * /snortattack/snort-update.sh */30 * * * * freshclam */30 * * * * /snortattack/pmgraph-0.2/pmgraph.pl ..usage/ ..perform.txt se non hai installato base e pmgraph tramite visual-install.sh rimuovi l'ultima riga. # crontab -e
17. Per fare un po di tuning del tuo ips utilizza tuning-ips.sh # sh tuning-ips.sh (ADVANCE) Inserisce il modulo ipconntrack e setta qualche utile variabile. Controlla lo script per altre informazioni Se vuoi abilitare tuning all'avvio modifica la variabile TUNING="y" in install.conf Possibili errori : Sorry, you are not root. $ su root $ (enter the password) Sorry, List unavailable. Verifica la connessione e la lista. $ wget http://www.snortattack.org/files/apt.txt Sorry, mirror.sh not found. Verifica il corretto link nel file mirror.sh e prova ancora. $ wget http://www.snortattack.org/files/mirror.sh Se i problemi persistono, invia una email a admin@snortattack.org . Se trovate alcuni errori con l'installazione manda una email in mailinglist.