Snort_INLINE: Proteção total

astrodyum

O Snort_Inline é uma versão vitaminada do famoso IDS (detector de intrusão) Snort. Ele trabalha em parceria com o Iptables, desta forma está apto a não só alertar quando intrusões são detectadas, mas também a BLOQUEAR imediatamente os pacotes que estão gerando estes alertas, ou seja, os possíveis atacantes. Vem com muitas regras pré-configuradas.

[ Hits: 27.360 ]

Por: Rodrigo Polesso em 09/05/2006

0 0
Denuncie   Favoritos   Indicar   Impressora

Introdução



O Snort possui uma versão plus chamada Snort_inline. O Snort_inline utiliza-se de um módulo especial do iptables para funcionar. Com ele podemos, além de apenas logar alertas de intrusões, a partir destes alertas bloquear os pacotes que os geram, tornando assim o sistema muito mais seguro.

Funciona da seguinte forma:

Este módulo do iptables permite direcionar os pacotes específicos que passam pelo iptables para uma fila. O que o Snort_inline faz é acessar esta fila e verificar os pacotes. Desta forma o Snort_inline tem possibilidade de não só lançar um alerta, mas também poder bloquear os pacotes relativos ao alerta.

Utilizei o Slackware 10.2 para executar o tutorial, mas não deverão ocorrer problemas em outras distros.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Mãos na massa
   3. Parte divertida - a prática
Outros artigos deste autor

IMHear, Sniffer de mensagens do MSN

VMWare - 3 mãos na roda

Gerenciando relatórios do SARG

Leitura recomendada

Dark Web e Malwares na internet, quanto custa?

Autenticação via hardware: o módulo pam_usb

Desvendando código malicioso no fórum Viva o Linux

Tutorial Netcat

Configurando proxy no shell

  
Comentários
[1] Comentário enviado por y2h4ck em 09/05/2006 - 11:18h

Vale comentar que o snort_inline e feito para trabalhar com o gateway em modo bridge, caso contrario ele nao tem o efeito desejado.

[2] Comentário enviado por Dark_Avatar em 09/05/2006 - 14:31h

Legal cara, interessante isso, de ter um snort que trabalhasse com parceria do iptables, além de ter já a precaução de bloquear determinadas coisas...
Belo artigo.

[3] Comentário enviado por slackrio em 11/05/2006 - 12:11h

Eu uso o snort mais o guardian .. o snort_inline e recomendado para entrar no lugar do snort+guardian ?

valew

[4] Comentário enviado por astrodyum em 11/05/2006 - 18:21h

Cara nao conheco o guardian.

Abraco

[5] Comentário enviado por gilmarjcabral em 17/03/2008 - 12:00h

Sera que teria como fazer a integração do snort + clamav para marrer a rede a procura de virus?
Se alguma estação tiver tentando enviar um virus para as outras maquina o snort + clamav detectar e emitir um aviso.
Desde ja agradeço


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Programa IRPF - Guia de Instalação e Resolução de alguns Problemas

Criando uma Infraestrutura para uma micro Empresa

Criar entrada (menuentry) ISO no Grub

Grande dificuldade tanto para rodar distros em modo LIVE como para instalar Linux em Sony Vaio PCG6131L / VPCEA24FM

Como gerar qualquer emoji ou símbolo unicode a partir do seu teclado

Dicas

Instalando o Pi-Hole versão v5.18.4 depois do lançamento da versão v6.0

Instalar o VIM 9.1 no Debian 12

Como saber o range de um IP público?

Muitas dificuldades ao instalar distro Linux em Notebook Sony Vaio PCG-6131L (VPCEA24FM)

Slackpkg+ (Slackpkg Plus) está de volta!

Tópicos

Como fzr Downgrade em um pacote específico (1)

Contas online no POP OS 24.04 ? (2)

problema para barrar sites/downloas via HTTPS. (2)

Liberação de alguns links no squid (21)

Em breve, hologramas (5)

Top 10 do mês

Scripts

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[C/C++] IPHunter - caçador de ip

[Shell Script] Script de Backup do Perfil dos Usuários do Sistema em Batch do Windows

[C/C++] Alucard - scan de redes defensivo

[Outros] Dicas e truques Matematica Básica

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: