Snort_INLINE: Proteção total

astrodyum

O Snort_Inline é uma versão vitaminada do famoso IDS (detector de intrusão) Snort. Ele trabalha em parceria com o Iptables, desta forma está apto a não só alertar quando intrusões são detectadas, mas também a BLOQUEAR imediatamente os pacotes que estão gerando estes alertas, ou seja, os possíveis atacantes. Vem com muitas regras pré-configuradas.

[ Hits: 27.338 ]

Por: Rodrigo Polesso em 09/05/2006

0 0
Denuncie   Favoritos   Indicar   Impressora

Introdução



O Snort possui uma versão plus chamada Snort_inline. O Snort_inline utiliza-se de um módulo especial do iptables para funcionar. Com ele podemos, além de apenas logar alertas de intrusões, a partir destes alertas bloquear os pacotes que os geram, tornando assim o sistema muito mais seguro.

Funciona da seguinte forma:

Este módulo do iptables permite direcionar os pacotes específicos que passam pelo iptables para uma fila. O que o Snort_inline faz é acessar esta fila e verificar os pacotes. Desta forma o Snort_inline tem possibilidade de não só lançar um alerta, mas também poder bloquear os pacotes relativos ao alerta.

Utilizei o Slackware 10.2 para executar o tutorial, mas não deverão ocorrer problemas em outras distros.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Mãos na massa
   3. Parte divertida - a prática
Outros artigos deste autor

IMHear, Sniffer de mensagens do MSN

Gerenciando relatórios do SARG

VMWare - 3 mãos na roda

Leitura recomendada

Analizando os logs do IPTables

Instalação do Nessus 3.0

Servidor SSH (Secure Shell Hosting)

Chroot + Bind sem stress

Tutorial Netcat

  
Comentários
[1] Comentário enviado por y2h4ck em 09/05/2006 - 11:18h

Vale comentar que o snort_inline e feito para trabalhar com o gateway em modo bridge, caso contrario ele nao tem o efeito desejado.

[2] Comentário enviado por Dark_Avatar em 09/05/2006 - 14:31h

Legal cara, interessante isso, de ter um snort que trabalhasse com parceria do iptables, além de ter já a precaução de bloquear determinadas coisas...
Belo artigo.

[3] Comentário enviado por slackrio em 11/05/2006 - 12:11h

Eu uso o snort mais o guardian .. o snort_inline e recomendado para entrar no lugar do snort+guardian ?

valew

[4] Comentário enviado por astrodyum em 11/05/2006 - 18:21h

Cara nao conheco o guardian.

Abraco

[5] Comentário enviado por gilmarjcabral em 17/03/2008 - 12:00h

Sera que teria como fazer a integração do snort + clamav para marrer a rede a procura de virus?
Se alguma estação tiver tentando enviar um virus para as outras maquina o snort + clamav detectar e emitir um aviso.
Desde ja agradeço


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Como gerar qualquer emoji ou símbolo unicode a partir do seu teclado

Instalar e Configurar o Slackware Linux em 2025

Como configurar os repositórios do apt no Debian 12 em 2025

Passkeys: A Evolução da Autenticação Digital

Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla

Dicas

Configurando o Conky para iniciar corretamente no sistema

3 configurações básicas que podem melhorar muito a sua edição pelo editor nano

Como colorir os logs do terminal com ccze

Instalação Microsoft Edge no Linux Mint 22

Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado

Tópicos

firefox nao guarda meus logins nos sites (1)

Instalar debian testing (13) "por cima" do debian 12 (2)

Erro de segmentação «Segmentation fault (core dumped)» ao retornar obj... (1)

como funciona endereçamento ip? (5)

Preciso atualizar o Vim (2)

Top 10 do mês

Scripts

[Shell Script] Script de Backup do Perfil dos Usuários do Sistema em Batch do Windows

[C/C++] Alucard - scan de redes defensivo

[Outros] Dicas e truques Matematica Básica

[C/C++] reverse shell na marra!

[C/C++] criptografia de modo simples

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: