====== SNORT ====== {{:informatique:snort_big.jpg|}} http://snort.org/ SNORT est un [[:glossaire:IDS|Système de Détection d'Intrusion (IDS)]], dont les qualités et les capacités ne sont plus à démontrer. Il est gratuit, et son moteur d'analyse est basé sur la technique de recherche de signatures dans les paquets. il a donc un langage qui permet d'écrire les filtres correspondant à des signatures d'attaques connues. Snort est open source écrit par Martin Roesch. La société SourceFire dont a fait partie Roesch, a continué le développement de Snort puis a été rachetée par le géant israélien CheckPoint en 2005. Snort peut être lancé en quatre modes: * mode sniffer : Snort va lire le trafic réseau et le montrer à l'écran. * mode packet logger : Snort va enregistrer le trafic réseau sur un fichier. * mode [[:glossaire:NIDS|Network Intrusion Detection System (NIDS)]] : le trafic réseau correspondant aux règles de sécurité sera enregistré. * mode [[:glossaire:IPS|Intrusion Prevention System (IPS)]] : aussi connu sous le nom de [[http://www.openmaniak.com/fr/inline.php|snort-inline]] ===== Doc ===== [[http://snort.org/docs/snort_htmanuals/htmanual_284/|User manual]] ==== Tutos ==== * [[http://www.internetsecurityguru.com/documents/Snort_Base_Barnyard_CentOS_5.pdf|Install Snort on CentOS5]] ({{:informatique:snort_base_barnyard_centos_5.pdf|Une copie locale}}) * http://www.forum-intrusion.com/snort/snort.html * http://www.howtoforge.com/intrusion_detection_base_snort ===== Installation et Configuration ===== Un AMP : * Apache2 * Mysql * PHP5 * ADOdb: ADOdb Database Abstraction Library for Php * GD * PEAR * pear install Image_Color * pear install Image_Canvas-alpha * pear install Image_Graph-alpha Capture de packets réseau : * libpcap et enfin : * Snort * Snort rules * celles de bases sont dans : http://snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz * et regarder les autres règles que l'on peut télécharger * [[http://adodb.sourceforge.net/|AdoDB]] * [[http://secureideas.sourceforge.net/|BASE]] (Basic Analysis and Security Engine) * ACID ? Running Snort for the first time : Initializing rule chains... ERROR: (/usr/local/etc/snort/rules/web-misc.rules)97 => Cannot use 'rawbytes' and 'http_uri' as modifiers for the same "content" nor use 'rawbytes' with "uricontent". Fatal Error, Quitting..