Snort_INLINE: Proteção total

O Snort_Inline é uma versão vitaminada do famoso IDS (detector de intrusão) Snort. Ele trabalha em parceria com o Iptables, desta forma está apto a não só alertar quando intrusões são detectadas, mas também a BLOQUEAR imediatamente os pacotes que estão gerando estes alertas, ou seja, os possíveis atacantes. Vem com muitas regras pré-configuradas.

[ Hits: 27.113 ]

Por: Rodrigo Polesso em 09/05/2006


Parte divertida - a prática



Tudo ok. Agora vamos testar o funcionamento do Snort_inline.

Digite:

# iptables -I INPUT -p tcp --dport 80 -j QUEUE

Desta forma adicionamos um regra ao iptables que direciona todos pacotes que tem como destino a máquina local e a porta 80 para uma fila (queue). ATENÇÃO que fazendo isso você não irá conseguir navegar, pois não receberá resposta dos sites, pois o iptables recebe os pacotes e não os processa, apenas coloca-os em um fila, para que outro programa entre nesta fila e processe os pacotes.

No caso este programa é o Snort_inline. Agora rodamos o Snort_inline para processar os pacotes desta fila e decidir se tem acesso permitido ou são barrados.

# snort_inline -c /path_to/snort_inline.conf -Q -N -l /path_to_log/ -v

Desta forma rodamos o snort_inline consultando a QUEUE e logando os alerts. Se você ver uma mensagem parecida com:

__== Initialisation Complete ==__

O snort_inline está funcionando corretamente. E no nosso caso a navegação foi restabelecida, porém agora temos um proteção extra sobre os pacotes direcionados à porta 80. É possível generalizar a regra do iptables para que TODOS pacotes externos (tcp) passem pela vistoria do snort_inline, para tanto a regra seria:

# iptables -I INPUT -p tcp -j QUEUE

Agora basta personalizar as regras (rules) para adequar ao seu caso. As regras do Snort ficam no diretório do "snort", subdiretório "rules". Existem muitas regras que o Snort nos trás de brinde, cabe a você escolher quais usar e quais não usar. Os logs com os alerts e etc tem sua localização padrão em /var/log/snort_inline/snort_inline_fast (modo sucinto) e /var/log/snort_inline/snort_inline_full (modo completo).

Agora divirta-se a vontade com sua nova camada de segurança :)

Página anterior    

Páginas do artigo
   1. Introdução
   2. Mãos na massa
   3. Parte divertida - a prática
Outros artigos deste autor

VMWare - 3 mãos na roda

Gerenciando relatórios do SARG

IMHear, Sniffer de mensagens do MSN

Leitura recomendada

Auditando senhas com John The Ripper

Servidor de e-mail seguro com ClamAV e MailScanner

Proxy reverso com ModSecurity no Debian Etch

IDS com Snort + Guardian + Debian Lenny

Hidden Service - Disponibilizando seu site na Deep Web através do Tor

  
Comentários
[1] Comentário enviado por y2h4ck em 09/05/2006 - 11:18h

Vale comentar que o snort_inline e feito para trabalhar com o gateway em modo bridge, caso contrario ele nao tem o efeito desejado.

[2] Comentário enviado por Dark_Avatar em 09/05/2006 - 14:31h

Legal cara, interessante isso, de ter um snort que trabalhasse com parceria do iptables, além de ter já a precaução de bloquear determinadas coisas...
Belo artigo.

[3] Comentário enviado por slackrio em 11/05/2006 - 12:11h

Eu uso o snort mais o guardian .. o snort_inline e recomendado para entrar no lugar do snort+guardian ?

valew

[4] Comentário enviado por astrodyum em 11/05/2006 - 18:21h

Cara nao conheco o guardian.

Abraco

[5] Comentário enviado por gilmarjcabral em 17/03/2008 - 12:00h

Sera que teria como fazer a integração do snort + clamav para marrer a rede a procura de virus?
Se alguma estação tiver tentando enviar um virus para as outras maquina o snort + clamav detectar e emitir um aviso.
Desde ja agradeço


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts