Sicurezza Rete · 2 min read · Oct 15, 2025

Rilevamento delle Intrusioni Con BASE E Snort

Rilevamento delle Intrusioni Con BASE E Snort

Questo tutorial mostra come installare e configurare BASE (Basic Analysis and Security Engine) e il sistema di rilevamento delle intrusioni Snort (IDS) su un sistema Debian Sarge. BASE fornisce un’interfaccia web per interrogare e analizzare gli avvisi provenienti da un sistema IDS Snort. Con BASE puoi eseguire analisi delle intrusioni che Snort ha rilevato sulla tua rete.

Scenario: Un server linux che esegue Debian Sarge 3.1 configurato secondo Falko’s - The Perfect Setup - Debian Sarge (3.1).
Supponiamo di avere un sito web funzionante ( www.example.com) e che la radice del documento sia: /var/www/www.example.com/web
L’IP del server è 192.168.0.5 e utilizza eth0 come nome dell’interfaccia di rete.

Programmi e file necessari

  • Snort
  • Regole Snort
  • PCRE (Perl Compatible Regular Expressions)
  • LIBPCAP
  • BASE (Basic Analysis and Security Engine)
  • ADOdb (ADOdb Database Abstraction Library for PHP (e Python).)

Download e decompressione

Abbiamo bisogno di un posto temporaneo per tutti i file che stiamo per scaricare e decomprimere.
Per semplificare le cose, creeremo una directory in /root chiamata snorttemp. (È ovvio che questa directory di download può avere qualsiasi nome e trovarsi ovunque)

cd /root
mkdir snorttemp
cd snorttemp

Ora devi ottenere Snort.
L’ultima versione al momento della scrittura è 2.6.0

wget http://www.snort.org/dl/current/snort-2.6.0.tar.gz

Quando il download è terminato, decomprimi il file:

tar -xvzf snort-2.6.0.tar.gz

E rimuoviamo il file tar:

rm snort-2.6.0.tar.gz

Abbiamo anche bisogno delle regole Snort!
Vai a: http://www.snort.org/pub-bin/downloads.cgi e scorri verso il basso fino a vedere le “Sourcefire VRT Certified Rules - The Official Snort Ruleset (unregistered user release)” regole
(Se sei un membro del forum puoi anche scaricare il - registered user release):

wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

Sposta il file snortrules-pr-2.4.tar.gz nella mappa snort-2.6.0:

mv snortrules-pr-2.4.tar.gz /root/snorttemp/snort-2.6.0

e cd nella snort-2.6.0:

cd snort-2.6.0

Decomprimi il file snortrules-pr-2.4.tar.gz:

tar -xvzf snortrules-pr-2.4.tar.gz

Rimuovi il file tar:

rm snortrules-pr-2.4.tar.gz

Abbiamo finito di scaricare i file necessari per far funzionare Snort.

Per far funzionare Snort con BASE, abbiamo bisogno di più!

PCRE - Perl Compatible Regular Expressions.

Vai a: http://www.pcre.org/ e seleziona un link di download per il file pcre-6.3tar.gz per scaricare PCRE (al momento della scrittura è pcre-6.3.tar.gz)
cd di nuovo nella mappa snorttemp:

cd /root/snorttemp

e scarica il file pcre-6.3.tar.gz:

wget http://surfnet.dl.sourceforge.net/sourceforge/pcre/pcre-6.3.tar.gz

Decomprimi il file:

tar -xvzf pcre-6.3.tar.gz

Rimuovi il tar:

rm pcre-6.3.tar.gz
Share: X/Twitter LinkedIn
#Sicurezza Rete

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.