Snort_INLINE: Proteção total

astrodyum

O Snort_Inline é uma versão vitaminada do famoso IDS (detector de intrusão) Snort. Ele trabalha em parceria com o Iptables, desta forma está apto a não só alertar quando intrusões são detectadas, mas também a BLOQUEAR imediatamente os pacotes que estão gerando estes alertas, ou seja, os possíveis atacantes. Vem com muitas regras pré-configuradas.

[ Hits: 27.653 ]

Por: Rodrigo Polesso em 09/05/2006

0 0
Denuncie   Favoritos   Indicar   Impressora

Introdução



O Snort possui uma versão plus chamada Snort_inline. O Snort_inline utiliza-se de um módulo especial do iptables para funcionar. Com ele podemos, além de apenas logar alertas de intrusões, a partir destes alertas bloquear os pacotes que os geram, tornando assim o sistema muito mais seguro.

Funciona da seguinte forma:

Este módulo do iptables permite direcionar os pacotes específicos que passam pelo iptables para uma fila. O que o Snort_inline faz é acessar esta fila e verificar os pacotes. Desta forma o Snort_inline tem possibilidade de não só lançar um alerta, mas também poder bloquear os pacotes relativos ao alerta.

Utilizei o Slackware 10.2 para executar o tutorial, mas não deverão ocorrer problemas em outras distros.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Mãos na massa
   3. Parte divertida - a prática
Outros artigos deste autor

Gerenciando relatórios do SARG

VMWare - 3 mãos na roda

IMHear, Sniffer de mensagens do MSN

Leitura recomendada

Segurança em seu Linux (parte 2)

OUTGUESS: Oculte mensagens em fotos

Backup/Restore de uma cópia fiel de um HD utilizando o DD

PuTTY - Estabelecendo Chave Secreta com OpenSSH

Aquisição Estática de Dados em Computação Forense

  
Comentários
[1] Comentário enviado por y2h4ck em 09/05/2006 - 11:18h

Vale comentar que o snort_inline e feito para trabalhar com o gateway em modo bridge, caso contrario ele nao tem o efeito desejado.

[2] Comentário enviado por Dark_Avatar em 09/05/2006 - 14:31h

Legal cara, interessante isso, de ter um snort que trabalhasse com parceria do iptables, além de ter já a precaução de bloquear determinadas coisas...
Belo artigo.

[3] Comentário enviado por slackrio em 11/05/2006 - 12:11h

Eu uso o snort mais o guardian .. o snort_inline e recomendado para entrar no lugar do snort+guardian ?

valew

[4] Comentário enviado por astrodyum em 11/05/2006 - 18:21h

Cara nao conheco o guardian.

Abraco

[5] Comentário enviado por gilmarjcabral em 17/03/2008 - 12:00h

Sera que teria como fazer a integração do snort + clamav para marrer a rede a procura de virus?
Se alguma estação tiver tentando enviar um virus para as outras maquina o snort + clamav detectar e emitir um aviso.
Desde ja agradeço


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

O que é o THP na configuração de RAM do Linux e quando desabilitá-lo

O que é uma VPN?

Comparação entre os escalonadores BFQ e MQ-Deadline (acesso a disco) no Arch e Debian

Conciliando o uso da ZRAM e SWAP em disco na sua máquina

Servidor de Backup com Ubuntu Server 24.04 LTS, RAID e Duplicati (Dell PowerEdge T420)

Dicas

Adicionando o repositório backports no Debian 13 Trixie

Tratando arquivos de pacote

Como definir um IP estático no Linux Debian

Hardware antigo no Arch Linux e outras distribuições

Aprenda a proteger sua rede Wi-Fi!

Tópicos

Ubuntu lento ao iniciar (9)

samba4 auditoria de pastas erro (1)

Samba (8)

Gerar menu automaticamente no fluxbox [RESOLVIDO] (5)

[Noticias] Fork do Xorg (7)

Top 10 do mês

Scripts

[Shell Script] Deixando o Plasma6 mais fluido

[Shell Script] Script ligar-scrolllock

[Shell Script] Como ver/ouvir vídeo/áudio via Terminal de modo prático

[Shell Script] Criar Script para apagar determinados arquivos

[Shell Script] inSANE - Script para usar Scanner

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: