Snort ist ein maechtiges IDS, welches zur Einbruchserkennung im OpenSource-Umfeld vielfach eingesetzt wird. Unter OpenBSD 3.2 laesst sich damit in 10 Minuten ein Sensor aufsetzen. Die notwendigen Schritte folgen hier (jeder kann/sollte ggf. Snort weiter nach den eigenen Bedürfnissen anpassen):

	### Snort installieren

 cd /usr/ports/net/snort
 make
 make install
 make clean

	### Loggingverzeichnis anlegen

 mkdir /var/log/snort

	### Snort im Deamon-Mode starten (in /etc/rc.local)

 /usr/local/bin/snort -D -A fast -b -c \
                 /usr/local/share/examples/snort/snort.conf

	### Perl-Auswertungstool: 
	### http://people.ee.ethz.ch/~dws/software/snort-rep/
	### saugen, entpacken && starten (-l gibt das LocalNetz an):

 ./snort-rep -r -H -l 1.2.3.4/24 -s \
                  fast:/var/log/snort/alert >auswertung.html

Hinweis: Die Namensaufloesung '-r' kostet viel Zeit und belastet den DNS.

---

Snort-2.0.0 unter OpenBSD 3.3 laeuft ebenfalls ohne Probleme ... lediglich die snort.conf in /usr/local/share/examples/snort/ (sinnvoll waere natuerlich in diesem Zusammenhang das copy nach /etc) musste ich modifizieren:

	var RULE_PATH /usr/local/share/examples/snort

Ausserdem habe ich noch die Var 'HOME_NET' definiert und eine Portscan-Dedection eingeschaltet:

	preprocessor portscan: $HOME_NET 4 3 portscan.log

--
I.S.