Em fóruns e listas de discussão é muito comum surgir questionamentos do tipo: “Gostaria de implementar o Snort na minha rede. Por onde começo?”. Neste ponto, faz-se importante frisar que o Snort é fundamentalmente um IDS e, como tal, tem suas complexidades quanto a configuração, parametrização e operacionalização. Embora suas versões possuam particularidades de acordo com a plataforma operacional, você precisa antes de qualquer coisa, aprender sobre a ferramenta em si. Afinal, “Snort é Snort” (não importa se está rodando sob o pfSense, sob o Linux, o OpenBSD, etc…).
Neste sentido, como não poderia deixar de ser, minha primeira sugestão é sempre a leitura dos e-books e materiais disponíveis no site oficial do projeto: http://www.snort.org/docs. Assim você vai entender a heurística e a formulação cartesiana por de trás de um IDS como o Snort. Há também muitos tutorias de brazucas no www.vivaolinux.com.br, aqui mesmo no blog e, mais recentemente divulgada pelo Rodrigo Montoro, a série “Snortando”.
Nas palavras do Rodrigo,
Postamos na Parte 1 da Série Snortando a introdução ao Snort e como ele funciona. Já a segunda parte aborda a aquisição de dados/posicionamento dos sensores (DAQ – Data AcQuisition library).
Ficam as dicas de leitura! 😉
