Table des matières

Installation de Oinkmaster sur Ubuntu

Tutoriel rédigé pour une version Ubuntu 8.04 LTS et Oinkmaster 2.0.

Oinkmaster est un simple script pour l’application Snort, permettant d’effectuer la mise à jour régulière des règles.

Ce tutoriel a été réalisé par :

Rôle Nom
Rédacteur Ludovic VALENTIN

Installation

Téléchargement et installation de l’outil Oinkmaster, ce dernier permet de mettre à jour régulièrement les règles de Snort :

$ sudo wget http://prdownloads.sourceforge.net/oinkmaster/oinkmaster-2.0.tar.gz?download
$ sudo tar –zxf oinkmaster-2.0.tar.gz
$ sudo cd oinkmaster.2.0
$ sudo cp oinkmaster.pl /usr/local/bin
$ sudo cp oinkmaster.conf /etc/snort

Configuration

Le fichier de configuration de Oinkmaster :

$ sudo vim /etc/snort/oinkmaster.conf

Configuration de base

Récupération du code “oink”

La définition d’un url de mises à jour de règles SNORT, nécessite l’obtention d’un code oink. Ce dernier est disponible dans les options du compte d’un utilisateur inscrit sur le site www.snort.org.

Une fois inscrit puis connecté (si n’est pas déjà fait) il suffit de se rendre sur la rubrique « My Account » puis sur l’onglet « Subscriptions and Oinkcodes » et le lien « Oinkcodes », il ne reste alors plus qu’à générer un code et de le copier.

Ajout des url

La configuration de l’outil se fait par l’intermédiaire d’un unique fichier.

$ sudo vim /etc/snort/oinkmaster.conf

Dans ce fichier, il faut alors définir le ou les url de mises à jour des règles. Pour les règles de SNORT, l’url nécessite le code oink.

http://www.snort.org/pub-in/oinkmaster.cgi/<oinkcode>/snortrules-snapshot-x.x.tar.gz

Soit un exemple plus concret :

http://www.snort.org/pub-in/oinkmaster.cgi/8515c042b41ad0a2170373bf41a5d5e42e01df7f/snortrules-snapshot-2.8.tar.gz

Pour les règles Emerging, pas besoin de code, l’url est donc plus simple à déclarée.

http://emergingthreats.net/rules/emerging.rules.tar.gz

Ces deux url sont à ajouter au fichier oinkmaster, chacune précédée par un « url = ». Exemple:

url = http://www.snort.org/pub-in/oinkmaster.cgi/8515c042b41ad0a2170373bf41a5d5e42e01df7f/snortrules-snapshot-2.8.tar.gz
url = http://emergingthreats.net/rules/emerging.rules.tar.gz

Optimisation

Exclure des fichiers de la mise à jour

Par défaut, certains fichiers de Snort (règles, …) sont conservés, et protégés de toute nouvelle mise à jour. Ainsi, par exemple, snort.conf est exclu de la mise à jour, ce qui permet de conserver notamment les paramètres du fichier de configuration. Si jamais une nouvelle version du fichier était téléchargé, toutes les données seraient perdues, car réécrite par le nouveau. Pour éviter cela, il faut éditer le fichier de configuration de Oinkmaster :

skipfile local.rules

Ici, le fichier local.rules est exclu de la mise à jour.

Utilisation

Pour lancer la mise à jour des règles.

$ sudo /usr/local/bin/oinkmaster.pl –C /etc/snort/oinkmaster –o /etc/snort/rules –b /etc/snort/rules_backup

Afin d’automatiser les mises à jour, il est possible d’utiliser Cron :

$ sudo crontab -e -u root

Et y ajouter cette ligne :

00 11 * * * /usr/local/bin/oinkmaster.pl -C /etc/snort/oinkmaster -o /etc/snort/rules -b /etc/snort/rules_backup

Elle permet ainsi d’automatiser la mise à jour quotidienne, par exemple, à 11h00.

Le fichier ainsi créé se trouve dans :

$ sudo vim /var/spool/cron/crontabs/root