====== SNORT ======

{{:informatique:snort_big.jpg|}}
http://snort.org/

SNORT est un [[:glossaire:IDS|Système de Détection d'Intrusion (IDS)]], dont les qualités et les capacités ne sont plus à démontrer. Il est gratuit, et son moteur d'analyse est basé sur la technique de recherche de signatures dans les paquets. il a donc un langage qui permet d'écrire les filtres correspondant à des signatures d'attaques connues. 

Snort est open source écrit par Martin Roesch. La société SourceFire dont a fait partie Roesch, a continué le développement de Snort puis a été rachetée par le géant israélien CheckPoint en 2005.

Snort peut être lancé en quatre modes:
  * mode sniffer :	Snort va lire le trafic réseau et le montrer à l'écran.
  * mode packet logger : 	Snort va enregistrer le trafic réseau sur un fichier.
  * mode [[:glossaire:NIDS|Network Intrusion Detection System (NIDS)]] : le trafic réseau correspondant aux règles de sécurité sera enregistré.
  * mode [[:glossaire:IPS|Intrusion Prevention System (IPS)]] : aussi connu sous le nom de [[http://www.openmaniak.com/fr/inline.php|snort-inline]]

===== Doc =====

[[http://snort.org/docs/snort_htmanuals/htmanual_284/|User manual]]

==== Tutos ====

  * [[http://www.internetsecurityguru.com/documents/Snort_Base_Barnyard_CentOS_5.pdf|Install Snort on CentOS5]] ({{:informatique:snort_base_barnyard_centos_5.pdf|Une copie locale}})
  * http://www.forum-intrusion.com/snort/snort.html
  * http://www.howtoforge.com/intrusion_detection_base_snort

===== Installation et Configuration =====

Un AMP :
  * Apache2
  * Mysql
  * PHP5
    * ADOdb: ADOdb Database Abstraction Library for Php
    * GD
    * PEAR
      * pear install Image_Color
      * pear install Image_Canvas-alpha
      * pear install Image_Graph-alpha
Capture de packets réseau :
  * libpcap
et enfin :
  * Snort
  * Snort rules
    * celles de bases sont dans : http://snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz
    * et regarder les autres règles que l'on peut télécharger
  * [[http://adodb.sourceforge.net/|AdoDB]]
  * [[http://secureideas.sourceforge.net/|BASE]]  (Basic Analysis and Security Engine)
  * ACID ?

Running Snort for the first time :

  Initializing rule chains...
  ERROR: (/usr/local/etc/snort/rules/web-misc.rules)97 => Cannot use 'rawbytes' and 'http_uri' as modifiers for the same "content" nor use 'rawbytes' with "uricontent".
  Fatal Error, Quitting..