HiMiC

Скрипт проверки запуска Snort, если незапущен процесс то перезапускаем.

Тут скрипт запуска из /etc/init.d/
vrt-blog.snort.org/2008/09/snort-startup-script-for-ubuntu.html

Добавить запуск в кроне каждую минуту:

# crontab -e
*/1  *  *   *   *   /root/cron/start_snort.sh

#touch /root/cron/start.log
#chmod 0700 /root/cron/start_snort.sh

/root/cron/start_snort.sh

#!/bin/bash


##########################
# Proverka zapuska Snort
##########################


if [ "$(pidof snort | tr " " "\012" | wc -l)" != "0" ]; then

echo "snort use " `date` 
#sleep 1;
else

/usr/bin/pkill snort  2> /dev/null &
sleep 1;
echo "snort start " `date`
#echo "snort start " `date` >> /root/cron/start.log

# start snort
#/usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 &

fi

###########################################
#          Proverka zapuska   barnyard2   #
###########################################
if [ "$(pidof barnyard2 | tr " " "\012" | wc -l)" != "0" ]; then

echo "barnyard2 start " `date`
#echo "barnyard2 start " `date` >> /root/cron/start.log
#/usr/bin/pkill barnyard2  2> /dev/null &

sleep 1
else

echo "barnyard2 start " `date` >> /root/cron/start.log

##start barnyard2
/usr/local/bin/barnyard2 -q -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /etc/snort/bylog.waldo -G /etc/snort/gen-msg.map -S /etc/snort/sid-msg.map -C /etc/snort/classification.config &
fi

Официальная документация по настройке www.snort.org/assets/167/deb_snort_howto.pdf

Change these lines:
Line #39 — ipvar HOME_NET 192.168.1.0/24 – make this match your internal (friendly) network
Line #42 — ipvar EXTERNAL_NET !$HOME_NET
Line #80 — var RULE_PATH ./rules – this assumes /etc/snort/rules
Line #186-#190 comment out all of the preprocessor normalize_ lines
Line #366 — add this: output unified2: filename snort.log, limit 128
Line #395 — delete or comment out all of the “include $RULE_PATH” lines except “local.rules”

для новой версии snort-2.9.1.tar.gz

Change these lines:
Line #45 — ipvar HOME_NET 192.168.1.0/24 – make this match your internal (friendly) network
Line #48 — ipvar EXTERNAL_NET !$HOME_NET
Line #98 — var RULE_PATH ./rules – this assumes /etc/snort/rules
Line #235-#239 comment out all of the preprocessor normalize_ lines
Line #471 — add this: output unified2: filename snort.log, limit 128
Line #503 — delete or comment out all of the “include $RULE_PATH” lines except “local.rules”

./configure --with-mysql --with-libpcre-libraries=/usr/src/snort/libdnet-1.12/src/.libs/ --with-dnet-includes=/usr/src/snort/libdnet-1.12/include/ --enable-build-dynamic-examples --enable-gre --enable-reload --enable-linux-smp-stats --enable-zlib --enable-dynamicplugin --enable-perfprofiling --enable-ipv6

Организация Open Information Security Foundation (OISF), спонсируемая Министерством национальной безопасности США, объявила о выпуске нового движка с открытым кодом для обнаружения вторжений — Suricata 1.0.

Новый движок Suricata позиционируется как замена популярному IDS-решению с открытым кодом Snort, созданному в 1998 году. Президент OISF заявил, что проект Suricata призван снять некоторые ограничения, присутствующие многие годы в Snort. По его словам, например, многопоточная архитектура Suricata позволяет добиться высокой производительности на современных многоядерных и многопроцессорных системах, чего так не хватает Snort в современных реалиях.

Из других интересных особенностей Suricata отмечается возможность фильтрации по репутации IP-адресов, т.е. помечать специальным флагом трафик от источников, которые известны как «плохие». Правила в Suricata могут применяться в зависимости от автоматически определяемого протокола, а не указанного сетевого порта.

Как сообщается, Suricata был написан с нуля при поддержке компаний, специализирующихся на ИТ-безопасности (среди них называются Endace, NitroSecurity и Everis), и призван стать инновационным решением.
.

Релиз Suricata 1.0.0 распространяется под свободной лицензией GNU GPL и уже доступен для свободного скачивания на сайте OIFS.

www.openinfosecfoundation.org/