Snort_INLINE: Proteção total

astrodyum

O Snort_Inline é uma versão vitaminada do famoso IDS (detector de intrusão) Snort. Ele trabalha em parceria com o Iptables, desta forma está apto a não só alertar quando intrusões são detectadas, mas também a BLOQUEAR imediatamente os pacotes que estão gerando estes alertas, ou seja, os possíveis atacantes. Vem com muitas regras pré-configuradas.

[ Hits: 28.374 ]

Por: Rodrigo Polesso em 09/05/2006

0 0
Denuncie   Favoritos   Indicar   Impressora

Introdução



O Snort possui uma versão plus chamada Snort_inline. O Snort_inline utiliza-se de um módulo especial do iptables para funcionar. Com ele podemos, além de apenas logar alertas de intrusões, a partir destes alertas bloquear os pacotes que os geram, tornando assim o sistema muito mais seguro.

Funciona da seguinte forma:

Este módulo do iptables permite direcionar os pacotes específicos que passam pelo iptables para uma fila. O que o Snort_inline faz é acessar esta fila e verificar os pacotes. Desta forma o Snort_inline tem possibilidade de não só lançar um alerta, mas também poder bloquear os pacotes relativos ao alerta.

Utilizei o Slackware 10.2 para executar o tutorial, mas não deverão ocorrer problemas em outras distros.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Mãos na massa
   3. Parte divertida - a prática
Outros artigos deste autor

VMWare - 3 mãos na roda

IMHear, Sniffer de mensagens do MSN

Gerenciando relatórios do SARG

Leitura recomendada

Antivírus Clamav no Linux

PHPIDS - PHP Intrusion Detection System, deixe seu site livre de intrusos!

Snort + ACID + MySQL no Slackware

Servidor para centralização de logs - Fedora 7

Tripwire - Checando a integridade do sistema

  
Comentários
[1] Comentário enviado por y2h4ck em 09/05/2006 - 11:18h

Vale comentar que o snort_inline e feito para trabalhar com o gateway em modo bridge, caso contrario ele nao tem o efeito desejado.

[2] Comentário enviado por Dark_Avatar em 09/05/2006 - 14:31h

Legal cara, interessante isso, de ter um snort que trabalhasse com parceria do iptables, além de ter já a precaução de bloquear determinadas coisas...
Belo artigo.

[3] Comentário enviado por slackrio em 11/05/2006 - 12:11h

Eu uso o snort mais o guardian .. o snort_inline e recomendado para entrar no lugar do snort+guardian ?

valew

[4] Comentário enviado por astrodyum em 11/05/2006 - 18:21h

Cara nao conheco o guardian.

Abraco

[5] Comentário enviado por gilmarjcabral em 17/03/2008 - 12:00h

Sera que teria como fazer a integração do snort + clamav para marrer a rede a procura de virus?
Se alguma estação tiver tentando enviar um virus para as outras maquina o snort + clamav detectar e emitir um aviso.
Desde ja agradeço


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Solid RELAÇÃO COM GOF

Maquina modesta - a vez dos navegadores ferrarem o usuario

Fscrypt: protegendo arquivos do seu usuário sem a lentidão padrão de criptograr o disco

Faça suas próprias atualizações de pacotes/programas no Void Linux e torne-se um Contribuidor

Como rodar o Folding@home no Linux

Dicas

Instalar Archlinux pelo WiFi

Dock no Cinnamon

Dando uma turbinada no bash

Resolvendo o bloqueio do Módulo Warsaw no Arch Linux (Porta 30900)

Replicação SYSVOL no Samba 4 com Syncthing

Tópicos

initrams (7)

Abrir um arquivo URL pelaLlinguagem C (2)

alguem tem o link do gamelinux? faz anos sem noticia (3)

Epson L3250 só imprime se remove e conectar o cabo usb (2)

Interface Gráfica (30)

Top 10 do mês

Scripts

[Shell Script] yad-clamav

[Shell Script] imageDownloader

[Shell Script] Flatpak manager

[Shell Script] Renomador em lote feito em Zenity

[C/C++] Jogo do Labirinto no Terminal

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: