====== Installation de Snort en manuel ======
==== Installation des paquets nécessaire au fonctionnement de snort ====
Une fois que le système est à jour il faut installer les paquets suivants dont snort a besoin pour fonctionner. Via la commande apt-get install.
* flex
* bison
* build-essential
* checkinstall
* libpcap-dev
* libnet1-dev
* libpcre3-dev
* libnetfilter-queue-dev
* iptables-dev
* libdumbnet-dev
* zlib1g-dev
* tcpdump
Il est possible d’installer tous les paquets via une seule commande.
apt-get install tcpdump flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y
==== Installation de la bibliothèque d’acquisition des données ====
Pour installer snort, il va falloir récupérer les fichiers d’installation présents sur le site officiel, les décompresser, enfin les installer.
=== 1 Création du dossier de stockage ===
Dans un premier temps créez un dossier où seront stockés les fichiers d’installation snort après le téléchargement.
La création du dossier se fait par la commande mkdir /usr/src/snort_src
Ensuite placez-vous dans le dossier créé avec la commande cd /usr/src/snort_src
=== 2 Téléchargement la bibliothèque d’acquisition des données ===
Pour télécharger le fichier de la bibliothèque d’acquisitions des données il suffit d’utiliser la commande wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
=== 3 Décompression du fichier ===
Une fois le fichier téléchargé il faut décompresser l’archive
tar xvfz daq-2.0.7.tar.gz
=== 4 Installation et configuration de la bibliothèque d’acquisition des données ===
Apres la décompression, il faut se rendre dans le répertoire crée suite à la décompression.
Ensuite il faut lancer l’installation et la configuration
cd daq-2.0.7/
./configure
make
sudo make install.
=== Installation de snort ===
- Téléchargement de snort wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz
- Décompression du fichier snort tar xvfz snort-2.9.20.tar.gz
- Installation et configuration de snort cd snort-2.9.20
- Ensuite il faut lancer l’installation et la configuration ./configure --enable-sourcefire; make; make install
==== 5 Vérification de l’installation snort ====
Pour vérifier que la bibliothèque partagée soit bien à jour on peut utiliser la commande sudo ldconfig
Enfin il est possible de test l’installation snort avec la commande snort –-version
le résultat attendu est le suivant.
{{ :snortverif.png?500 |}}
==== 6 Création d’un utilisateur snort ====
Afin d’éviter que snort se lance en utilisateur root ce qui donne accès à de nombreux privilèges. Il faut donc créer un utilisateur snort.
groupadd snort
useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
==== 7 Création des dossiers de configuration ====
Les commandes suivantes vont créer des fichiers dans des répertoires différents.
* dossier qui contient les fichiers de configuration snort :mkdir /etc/snort
Les commandes suivantes vont créer des dossiers pour différents types de règles.
mkdir /etc/snort/rules
mkdir /etc/snort/preproc_rules
touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules
mkdir /usr/local/lib/snort_dynamicrules
Enfin il faut créer le dossier qui va contenir les logs.
mkdir /var/log/snort
=== Attribution des droits ===
Suite à la création des différents fichiers il faut leur donner des droits sur les dossiers.
Utilisateur : lecture/écriture/exécution
Groupe : lecture/écriture/exécution
Autre : lecture/exécution
chmod -R 5775 /etc/snort
chmod -R 5775 /var/log/snort
chmod -R 5775 /usr/local/lib/snort_dynamicrules
On ajoute l’utilisateur snort et groupe aux différents dossiers.
chown -R snort:snort /etc/snort
chown -R snort:snort /var/log/snort
chown -R snort:snort /usr/local/lib/snort_dynamicrules
==== 8 Copie des fichiers de configuration ====
Lors de l’installation les fichiers ont été crééqsdans le répertoire // /usr/src/snort_src/ // on va donc copier vers le dossier /etc/snort.
cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort
===== Configuration snort =====
==== 1 Configuration du réseau à sécuriser ====
Dans le fichier snort.conf il va falloir configurer la variable //ipvar HOME_NET// avec l’adresse IP réseau.
Le fichier se trouve dans le répertoire //** /etc/snort/ **// pour ouvrir le fichier //snort.conf//.
De plus il faut laisser la variable //ipvar EXTERNAL_NET// avec l’option //any//. Cette variable concerne le réseau externe.
{{ :snortfichconf.png?600 |}}
Il est possible de lister les adresses IP des serveurs dns présents sur le réseau avec la variable //ipvar DNS_SERVERS//.
==== 2 Configuration des chemins snort ====
Les fichiers sont dans un répertoire il faut donc indiquer le chemin pour aller récupérer.
Les chemins a configurer sont les suivants dans les encadrés jaune.
{{ :snortchemins.png?500 |}}
Les cinq chemins qu’il faut modifier avec les répertoires suivants.
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
De plus Il va falloir commenter les règles **à partir de la ligne 548 jusqu’à la ligne 652** du fichier //snort.conf//.
{{ :snortcommentaires.png?400 |}}