Re: Snort

[Marc Climent <marclial@yahoo.com>]

El lun, 21-01-2002 a las 17:29, Ruben escribió:
> 
> Hola a todos.
> 
> Acabo de instalar el snort, y hasta ahi todo bien.
> Ahora lo que necesito es saber como configurarlo, he visto los manuales que 
> hay en su web, pero son un lio.
> ¿Me puede mandar alguien algún manual o ejemplo de como configurarlo?.
> Lo que necesito es saber si alguien intenta acceder a mi ordenador, 
> escaneos de puertos, etc, (lo normal ¿no?)
> 
> Saludos.

Hola,

Si no me equivoco, con la configuración por defecto ya hace bastantes
cosas. Lo que hay que indicarle es la dirección IP local o de la red a
monitorizar en /etc/snort/snort.debian.conf en dónde pone 
DEBIAN_SNORT_HOME_NET="xxx.xxx.xxx.xxx/yy" dónde x.x.x.x será la IP de
la red local y yy la máscara de subred. Si es una sola dirección, pues
poner /32 y sino pues otra cosa.
Si la IP no es fija supongo que se puede poner que se configure solo
pero no sé cómo. Como solución rápida puedes poner:
Imaginemos que las direcciones que siempre dan son "72.53.x.x". Entonces
dices que la dirección local es "72.53.0.0/16" y te den la que te den
funcionará. La única pega es que paquetes que vengan de una estación del
mismo proveedor pueden ser considerados como locales :-D

Después la configuración principal se realiza en /etc/snort/snort.conf
aunque por defecto ya digo que esta casi todo puesto. En .conf está muy
comentado pero si tienes alguna duda sobre algún aspecto concreto no
dudes en preguntar.

Un saludo.


-- 
 --------------------------------------------------------
<<<        Marc Climent - marclial-yahoo-com          >>>>
<<<          KRLSN  -  kirie99-hotmail-com            >>>>
|--------------------------------------------------------|
|  La esgrima es un arte, no una riña de gañanes. EMDE   |
\--------------------------------------------------------/