Snort est un outil très complet et de ce fait, il existe de nombreuses configurations possibles. A travers cet article, nous nous attarderons sur une configuration en particulier, qui se veut allier confort d'utilisation et multiplicité des tâches.

Pour cela, plusieurs pré-requis sont à remplir. Afin de mieux les appréhender, voyons de quelle façon Snort fonctionne:

Partons de l'idée de base qu'un pirate essaie de pénétrer le réseau. Snort possède des senseurs présents sur le réseau qui vont détecter et analyser l'intrusion. Une fois que l'intrusion est détectée, les informations la concernant sont transmises à un serveur de base de données (MySQL) qui se chargera de les logguer. Puis, l'administrateur réseau (ou un utilisateur autorisé) pourra visualiser ces informations sur un serveur web (Apache et des composants additionnels) correctement configuré.

Suite à cette explication, nous pouvons donc dresser la liste des pré-requis:

-Un serveur MySQL (vous pouvez en utiliser un autre mais nous choisirons celui-ci pour sa simplicité et sa robustesse)
-Un serveur Apache
-Le module PHP pour Apache, pour MySQL (php5-mysql par exemple), php-gd qui est une librairie graphique pour PHP et enfin PHP PEAR qui signifie PHP Extension and Application Repository.

Tous ces paquets sont en général disponibles sous forme de package dans les distributions récentes et donc facilement installables. De plus, ils disposent d'une bonne documentation que ce soit sur Internet ou dans les livres. Leur installation, de ce fait, ne sera pas abordée dans cet article et nous nous consacrerons uniquement à Snort.