Snort + Guardian 筆記

 

Snort + Guardian (很好用的IDS系統)

需要的檔案:

snort 2.6
snortrules-snapshot-CURRENT (*注意:這個檔案需要先加入會員才能下載)
guardian-1.7


1. 先安裝Snort

2. 安裝 Snort Rules

先解壓縮: tar -zxvf snortrules
進入 rules 目錄
執行 cp * /etc/snort/rules

3. 設定 Snort

-------------
修改設定檔 /etc/snort/snort.conf

var HOME_NET 192.168.1.0/24 (內部網路IP)

var EXTERNAL_NET !$HOME_NET (表示所有Home_Net 以外的IP)

更改 var RULE_PATH ../rules 成 var RULE_PATH /etc/snort/rules

在 preprocessor stream4_reassemble 後面加一行
(新版預設已經有了) preprocessor stream4_reassemble: both,ports 21 23 25 53 80 110 111 139 143 445 513 1433

4. 安裝Guardian

* 需要perl支援
tar zxvf guardian-1.7.tar.gz
cd guardian-1.7
echo > /etc/guardian.ignore
cp guardian.pl /usr/local/bin/.
cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh
cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh
cp guardian.conf /etc/.

5. 修改 /etc/guardian.conf
AlertFile 改成 /var/log/snort/alert (讀取snort的偵測)

#將你需要忽略的IP放在此檔中
IgnoreFile /etc/guardian.ignore

6. 開機時 自動啟動
修改 /etc/rc.local
加入 /usr/bin/perl /usr/local/bin/guardian.pl -c /etc/guardian.conf


wowMiloo 發表在 痞客邦 PIXNET 留言(0) 人氣()