O Snort possui uma versão plus chamada Snort_inline. O Snort_inline utiliza-se de um módulo especial do iptables para funcionar. Com ele podemos, além de apenas logar alertas de intrusões, a partir destes alertas bloquear os pacotes que os geram, tornando assim o sistema muito mais seguro.
Funciona da seguinte forma:
Este módulo do iptables permite direcionar os pacotes específicos que passam pelo iptables para uma fila. O que o Snort_inline faz é acessar esta fila e verificar os pacotes. Desta forma o Snort_inline tem possibilidade de não só lançar um alerta, mas também poder bloquear os pacotes relativos ao alerta.
Utilizei o Slackware 10.2 para executar o tutorial, mas não deverão ocorrer problemas em outras distros.
[1] Comentário enviado por
y2h4ck em 09/05/2006 - 11:18h:
Vale comentar que o snort_inline e feito para trabalhar com o gateway em modo bridge, caso contrario ele nao tem o efeito desejado.
[2] Comentário enviado por
Dark_Avatar em 09/05/2006 - 14:31h:
Legal cara, interessante isso, de ter um snort que trabalhasse com parceria do iptables, além de ter já a precaução de bloquear determinadas coisas...
Belo artigo.
[3] Comentário enviado por
slackrio em 11/05/2006 - 12:11h:
Eu uso o snort mais o guardian .. o snort_inline e recomendado para entrar no lugar do snort+guardian ?
valew
[4] Comentário enviado por
astrodyum em 11/05/2006 - 18:21h:
Cara nao conheco o guardian.
Abraco
[5] Comentário enviado por
gilmarjcabral em 17/03/2008 - 12:00h:
Sera que teria como fazer a integração do snort + clamav para marrer a rede a procura de virus?
Se alguma estação tiver tentando enviar um virus para as outras maquina o snort + clamav detectar e emitir um aviso.
Desde ja agradeço
+ quero dar nota ao artigo
Backup automatizado e seguro usando SSH / SCP / SFTP
Versão para impressora
Indicar para um amigo
Enviar artigo