Los administradores de sistema tomamos muy en cuenta a seguridad de sus equipos y sobre todo de su red, mucho mas si dentro de ella existe información muy relevante, para eso hay que basarnos en un sistema que pueda ofrecernos este tipo de protección, en ste caso tenemos a Snort, además de ser un software libre, nos puede ofrecer una seguridad garantizada claro esta configurandolo correctamente, par esto se deben seguir ciertos pasos.

En la bitácora personal de José Ramón Vilas, nos enseña como hacer la configuración básica de Snort.. proceso a continuación...

Snort es una herramienta muy conocida por el administrador de sistemas y utilizada por defecto en la práctica totalidad de distribuciones Linux orientadas a trabajar como encaminadores (SmoothWall, IpCop, Untangle...)

Los usos y posibilidades de esta herramienta son realmente variados aunque lo más común es utilizarlo como "packet logger" o sniffer, con volcado a texto plano o bbdd MySQL/PostgreSQL.

Algunos de sus usos básicos son:

# snort -v (-vd)

Funciona como un sniffer realizando un volcado por pantalla de todo el tráfico (la opción -vd muestra más información). 

# snort -l
ruta_archivo_log -d

Ejecuta snort y guardar el log en la ruta indicada en el formato predeterminado (binario). Para visualizar este archivo se utiliza la opción

-r

# snort -r ruta_archivo_log

Para una configuración inicial con reglas de detección básicas, se pueden descargar las establecidas por la comunidad desde el site oficial de la aplicación:

http://www.snort.org/pub-bin/downloads.cgi

, en formato comprimido tar.gz.

Para habilitar estas reglas se copiarán (descomprimidas) al directorio de configuración de snort (/etc/snort/rules/) y editaremos el archivo de configuración del programa asegurándonos de que son visibles: 

# vi /etc/snort/snort.conf

------

var RULE_PATH rules
include $RULE_PATH/sql.rules
include $RULE_PATH/tcp.rules
...

 Ahora nos queda cargar la nueva configuración: 

# snort -c /etc/snort/snort.conf