2 - Configuração do Snort

A configuração do Snort reside no arquivo /etc/snort/snort.conf. Esse arquivo é extenso e contém uma série de parâmetros de configuração do Snort.

Para efeito da disciplina, serão vistos alguns parâmetros mais importantes. O aluno que desejar se aprofundar mais a respeito dos parâmetros de configuração do Snort pode buscar mais informações no manual da ferramenta

.
  1. Variáveis (var) – configuram parâmetros do Snort, como a rede local, a rede externa, os servidores DNS, SMTP, HTTP, SQL, Telnet e SNMP (Simple Mail Transfer Protocol é o protocolo de envio de mensagens de correio eletrônico).

Configurar esses parâmetros pode reduzir significantemente a quantidade de falsos positivos no seu IDS, pois o Snort só alertará quando o destino efetivamente dispor do serviço indicado. Veja aqui alguns exemplos.

  1. var RULE_PATH – indica o caminho onde os arquivos de regras (assinaturas) se encontram.

  1. include $RULE_PATH/<arquivo>.rules – inclui um arquivo de regras. Os arquivos de regras normalmente são divididos por categorias, de modo que seja fácil comentar as linhas correspondentes para desabilitar as regras. Os comentários são feitos utilizando o caractere “#” no início da linha.
Copyright © 2014 AIEC.