TOTAL
Depuis Dec 2006
1'942'871 Visiteurs
4'218'042 Pages

Stats Nov 2010
82'909 Visiteurs
146'476 Pages
196 pays
Statistiques completes



Aidez-nous à traduire
nos tutoriaux!

REJOINGNEZ
l'équipe OpenManiak.
SNORT_INLINE - Le Tutorial Facile - Oinkmaster & Les règles Snort

Snort_Inline Règles Snort
Dernière modif: Dec 06 2007


Outil
Installation
Ergonomie
Forum



Détails Snort_Inline, c'est quoi?
Captures d'écran
Prérequis
Installation
Oinkmaster - Règles Snort
Oinkmaster - Règles Bleeding
Lancer Snort_Inline
BASE
Construire un pont (bridge)



⚠️⚠️⚠️
Please check our page about COVID-19!!
100 Questions and answers about Coronavirus.

⚠️⚠️⚠️
Merci de consulter notre page sur la COVID-19 !!
227 questions et réponses sur le Coronavirus.


Une fois Snort_Inline installé, il est nécessaire d'installer les règles de signature Snort et de les maintenir à jour.
Par chance, il y a un script perl qui va nous donner une aide précieuse: Oinkmaster.

#apt-get install oinkmaster
Installation ou mise à jour des règles.
Pour télécharger les règles Snort, nous avons besoin de créer un compte gratuit sur le site web de Snort.
Les règles Snort sont produites par Sourcefire and vous pouvez les obtenir gratuitement quelques jours après leur sortie avec l'abonnement payant.

Une fois connecté avec votre compte Snort, vous pouvez obtenir un code en bas de page.

snort snort_inline site web oinkmaster code

Nous avons besoin de ce code dans le fichier /etc/oinkmaster.conf.

Modifiez le paramètre "url" dans le fichier /etc/oinkmaster.conf file:

url = http://www.snort.org/pub-bin/oinkmaster.cgi/code/snortrules-snapshot-2.4.tar.gz
Ensuite, nous devons changer le type d'alerte Snort. Donc, toujours dans le fichier /etc/oinkmaster.conf, ajoutez la ligne suivante:

modifysid * "^alert" | "drop"
Créons un dossier de sauvegarde.

#mkdir /etc/snort_inline/backup
Mettons à jour les règles. Nous devons être attentifs de ne pas lancer oinkmaster en tant que root particulièrement si vous n'êtes pas dans un environnement de test.
Ajoutons donc un utilisateur appelé oinkmaster.

#useradd oinkmaster
Changez des permissions pour permettre à l'utilisateur oinkmaster de lancer le script perl oinkmaster:

#chown -R oinkmaster /etc/snort_inline/backup
#chown -R oinkmaster /etc/snort_inline/rules
#chown -R oinkmaster /var/run/oinkmaster
#chmod 644 /etc/snort_inline/snort_inline.conf
Maintenant, il est temps de tester le script perl oinkmaster avec l'utilisateur oinkmaster.

#su oinkmaster
oinkmaster#oinkmaster -o /etc/snort_inline/rules -b /etc/snort_inline/backup 2>&1
La dernière instruction ci-dessus signifie que nous lançons le script perl oinkmaster, les règles sont placées dans le dossier /etc/snort/rules et si il y a des changements dans les nouvelles règles, les règles courante vont être sauvegardées dans le dossier /etc/snort/backup.

Voici un exemple du contenu de notre dossier backup après le lancement de oinkmaster:

#dir /etc/snort_inline/backup
rules-backup-20060205-163627.tar.gz


La crontab
Comme nous sommes plutôt paresseux, nous ne voulons pas lancer le script manuellement tous les jours et encore moins la nuit!.
Un petit cron job va venir nous aider.

#crontab -e -u oinkmaster
30 00 * * * oinkmaster -o /etc/snort_inline/rules -b /etc/snort_inline/backup 2>&1 >> /dev/null 2>&1
Ceci mettra à jour les règles chaque jour à 00:30.
(La commande crontab va mettre à jour le fichier /var/spool/cron/crontabs/oinkmaster).

La commande "crontab -e" va ouvrir nano par défaut. Si vous voulez ouvrir vi à la place:
#export EDITOR=vi