Debian snont настройка

Официальная документация по настройке www.snort.org/assets/167/deb_snort_howto.pdf

Change these lines:
Line #39 — ipvar HOME_NET 192.168.1.0/24 – make this match your internal (friendly) network
Line #42 — ipvar EXTERNAL_NET !$HOME_NET
Line #80 — var RULE_PATH ./rules – this assumes /etc/snort/rules
Line #186-#190 comment out all of the preprocessor normalize_ lines
Line #366 — add this: output unified2: filename snort.log, limit 128
Line #395 — delete or comment out all of the “include $RULE_PATH” lines except “local.rules”

для новой версии snort-2.9.1.tar.gz

Change these lines:
Line #45 — ipvar HOME_NET 192.168.1.0/24 – make this match your internal (friendly) network
Line #48 — ipvar EXTERNAL_NET !$HOME_NET
Line #98 — var RULE_PATH ./rules – this assumes /etc/snort/rules
Line #235-#239 comment out all of the preprocessor normalize_ lines
Line #471 — add this: output unified2: filename snort.log, limit 128
Line #503 — delete or comment out all of the “include $RULE_PATH” lines except “local.rules”

./configure --with-mysql --with-libpcre-libraries=/usr/src/snort/libdnet-1.12/src/.libs/ --with-dnet-includes=/usr/src/snort/libdnet-1.12/include/ --enable-build-dynamic-examples --enable-gre --enable-reload --enable-linux-smp-stats --enable-zlib --enable-dynamicplugin --enable-perfprofiling --enable-ipv6
Читать дальше

Suricata 1.0 новая замена IDS Snort

Организация Open Information Security Foundation (OISF), спонсируемая Министерством национальной безопасности США, объявила о выпуске нового движка с открытым кодом для обнаружения вторжений — Suricata 1.0.

Новый движок Suricata позиционируется как замена популярному IDS-решению с открытым кодом Snort, созданному в 1998 году. Президент OISF заявил, что проект Suricata призван снять некоторые ограничения, присутствующие многие годы в Snort. По его словам, например, многопоточная архитектура Suricata позволяет добиться высокой производительности на современных многоядерных и многопроцессорных системах, чего так не хватает Snort в современных реалиях.

Из других интересных особенностей Suricata отмечается возможность фильтрации по репутации IP-адресов, т.е. помечать специальным флагом трафик от источников, которые известны как «плохие». Правила в Suricata могут применяться в зависимости от автоматически определяемого протокола, а не указанного сетевого порта.

Как сообщается, Suricata был написан с нуля при поддержке компаний, специализирующихся на ИТ-безопасности (среди них называются Endace, NitroSecurity и Everis), и призван стать инновационным решением.
.

Релиз Suricata 1.0.0 распространяется под свободной лицензией GNU GPL и уже доступен для свободного скачивания на сайте OIFS.

www.openinfosecfoundation.org/
Читать дальше