1-Mise à jour des règles

Comme nous l'avons vu précédemment, il nous faut récupérer les règles pour Snort. Mais une fois ces règles récupérées, il convient de se mettre à jour régulièrement pour ne pas avoir de failles dans la sécurité. Bien qu'on puisse le faire manuellement, à savoir récupérer les sources sur le site officiel et les coller dans le répertoire adéquat, il existe un outil qui permet de rendre cette tâche beaucoup plus aisée. Il s'agit du package oinkmaster que vous pouvez normalement récupérer dans le système de packages de votre distribution. Sous une distribution Debian:

# apt-get install oinkmaster

Une fois ce script perl installé, il convient d'effectuer quelques configurations pour pouvoir utiliser les mises à jour. Tout d'abord, loggez-vous sur le site officiel de Snort avec le compte que vous avez créez pour récupérer les règles pour la première fois et générez un code Oink. Ce code est nécessaire pour utiliser oinkmaster.

On se rend ensuite dans le fichier de configuration de oinkmaster.

Il faut ajouter la ligne suivante dans le fichier: url = http://www.snort.org/pub-bin/oinkmaster.cgi/<le code de Oink>/snortrules-snapshot-CURRENT.tar.gz (ceci vaut pour la dernière version. Pour des anciennes versions, le nom du fichier est différent. Il est donné sur le site officiel).

On créé ensuite un dossier de Back up pour les anciennes règles (dans notre cas, /etc/snort/back_rules). Ensuite il convient de lancer oinkmaster. Par soucis de sécurité, vous pouvez créer un utilisateur dédié pour Oinkmaster, un peu dans la même idée que ce qu'on a vu précédemment.

Oinkmaster se lance ainsi:

$oinkmaster -o /etc/snort/rules -b /etc/snort/backup_rules

Le script va télécharger et mettre à jour les règles et faire le backup dans le dossier indiqué. Votre snort est désormais à jour.

2-Un mot sur BleedingSnort

Souvenez-vous, en introduction, nous avons parlé des mises à jour et du fait que celles disponibles sur le site officiel de Snort ne sont disponibles gratuitement que quelques semaines après leur sortie. Pour les maniaques de sécurité, il existe une alternative: bleedingsnort. Il s'agit en réalité d'un autre set de règles de sécurité que celles que propose Snort. La différence principale, et pas des moindres, vient du fait que pour ces règles, il n'existe pas de délais entre la disponibilité de façon libre de celles-ci et leur date de création. Snort sera donc mis à niveau de façon plus efficace.

Pour utiliser ce set de règles, il n'y a rien de compliqué. Il suffit juste de changer le nom des règles dans le fichier de configuration snort.conf (les lignes du type include $RULE_PATH/<nom_de_la_règle>). Pour rajouter les règles de bleedingsnort, il convient de rajouter ces lignes:

include $RULE_PATH/bleeding.rules
include $RULE_PATH/bleeding-attack_response.rules
include $RULE_PATH/bleeding-dos.rules
include $RULE_PATH/bleeding-drop.rules
include $RULE_PATH/bleeding-dshield.rules
include $RULE_PATH/bleeding-exploit.rules
include $RULE_PATH/bleeding-game.rules
include $RULE_PATH/bleeding-inappropriate.rules
include $RULE_PATH/bleeding-malware.rules
include $RULE_PATH/bleeding-p2p.rules
include $RULE_PATH/bleeding-scan.rules
include $RULE_PATH/bleeding-virus.rules
include $RULE_PATH/bleeding-web.rules

Une fois cela fait, nous pourrons utiliser oinkmaster pour faire nos mises à jour. Il suffit de rajouter la ligne désignant l'url de bleedingsnort (à noter qu'ici il n'y a pas besoin de code de téléchargement). La ligne à ajouter est la suivante:

url = http://www.bleedingsnort.com/bleeding.rules.tar.gz

Une fois cela fait, il suffit de relancer oinkmaster comme vu précédemment et vos règles seront mises à jour.