Sécurité : IDS Prelude et SNORT

Bijour …

Bé voilà … la dernière partie (ou pas) concernant l’IDS Prelude, et donc ici ben verra juste comment compiler SNORT et le connecter au prelude-manager.

Comme d’hab :
[sourcecode language=bash]
apt-get install make libpcre3-dev libpcap0.8-dev gcc libprelude-dev
cd /usr/src
wget http://dl.snort.org/snort-current/snort-2.8.4.1.tar.gz
tar -xvf snort-2.8.4.1.tar.gz
cd snort-2.8.4.1
./configure -enable-dynamicplugin –enable-prelude
make && make install
mkdir /etc/snort
cp etc/* /etc/snort/
apt-get install snort-rules-default
[/sourcecode]
Ensuite il vous faut modifier le fichier /etc/snort/snort.conf et modifier les lignes concernant :
[sourcecode language=bash]
var RULE_PATH ../rules
var PREPROC_RULE_PATH ../preproc_rules
[/sourcecode]
et les remplacez par :
[sourcecode language=bash]
var RULE_PATH rules
var PREPROC_RULE_PATH preproc_rules
[/sourcecode]
Ensuite … c’est pareil que pour la synchronisation avec prelude-lml et prelude-correlator, ce qui donne :
[sourcecode language=bash]
screen -S registration
prelude-admin registration-server prelude-manager
[/sourcecode]
Notez le mot de passe, puis faites Ctrl+a puis d

screen
prelude-adduser register snort "idmef:w" 127.0.0.1 --uid 0 --gid 0

Après 15-20 minutes, donnez-lui le mot de passe demandé, ensuite faites Ctrl+a puis d, lancez un screen -r registration répondez y et si la réponse est « Registration successful » c’est bon … vous pouvez configurer snort et voir apparaitre les alertes sur prewikka (si vous l’avez configuré comme dans l’un de mes derniers tuto …).