โดย อดิศร  ขาวสังข์
เขียนเมื่อ 20/10/2550

อ่านคำแนะนำเกี่ยวกับ Snort ได้ที่นี่

บทนำ
IPCop ได้บรรจุ Intrusion Detection System (IDS) ที่เป็น Snort เอาไว้ สำหรับวิเคราะห์เนื้อหา (Content) ของแพ็กเกตข้อมูลที่รับเข้ามาโดย Firewall และค้นหา known signatures ของ malicious activity

IPCop สามารถมอนิเตอร์ทราฟฟิกบน Green, Blue, Orange, และ Red Interface ด้วยการคลิ๊ก relevant box และคลิ๊กปุ่ม Save

การใช้งาน

1. ในตอนแรกเราอาจจะยังใช้งาน IDS ไม่ได้เพราะจะมีข้อความฟ้องว่า Invalid input for Oink code วิธีการก็ให้เข้าไปยังเว็บไซต์ http://www.snort.org แล้วทำการลงทะเบียนสมัครสมาชิก เพื่อให้ได้ Oink code ซึ่งเป็น code สำหรับ Sourcefire VRT Certified Rules (VRT : Sourcefire Vulnerability Research Team)
   
   
   
   
2. จากนั้นให้ให้นำ Oink Code ที่ได้ ไปป้อนในช่อง Oink Code
   
   
   
   
3. แล้วคลิ๊กปุ่ม Save และปุ่ม Apply now ก็จะได้ผลดังรูป
   
   
   
   
4. เราสามารถดู Intrusion rules activated ได้ที่เมนู Logs --> IDS Logs ซึ่งจะได้ผลดังรูป
   
   
   
   

การอัพเดท Snort rules:
ถ้าคุณต้องการใช้ Sourcefire VRT  Certified rules (VRT : Sourcefire Vulnerability Research Team) ให้ทำตามคำแนะนำเพื่อให้ได้ Oink code จากเว็บไซต์ www.snort.org แล้วทำดังนี้

1. เลือก correct radio buton

2. ป้อน Oink code แล้วคลิีกปุ่ม Save ก่อนที่คุณจะทำการดาวน์โหลด ruleset

3. เมื่อมีการจู่โจม (attack) แบบใหม่ที่เกิดขึ้นสามารถถูกค้นพบได้โดย Snort ruleset ที่มีการอัพเดต ดังนั้นให้คลิ๊กปุ่ม Download new ruleset เพื่อให้ได้ ruleset ที่อัพเดตล่าสุด
   

จบครับ