Snort_INLINE: Proteção total

O Snort_Inline é uma versão vitaminada do famoso IDS (detector de intrusão) Snort. Ele trabalha em parceria com o Iptables, desta forma está apto a não só alertar quando intrusões são detectadas, mas também a BLOQUEAR imediatamente os pacotes que estão gerando estes alertas, ou seja, os possíveis atacantes. Vem com muitas regras pré-configuradas.

[ Hits: 27.133 ]

Por: Rodrigo Polesso em 09/05/2006


Mãos na massa



A instalação do Snort_inline é feita da seguinte forma:

1. É necessário recompilar o iptables, portanto, baixe seus fontes neste link:
2. Extraia o arquivo e o compile com o seguinte comando:

# make install-devel

Isto irá instalar o módulo ip_queue, que possibilita um direcionamento dos pacotes a uma fila, como dito acima.

3. Agora precisamos instalar a libnet, que possibilita o Snort construir e injetar pacotes na rede. Faça o download em:
Compile com o método tradicional (./configure , make, make install)

5. Agora temos que instalar o Perl-Compatible Regular Expressions library. Baixe em:
e compile tradicionalmente.

6. Finalmente instalamos o Snort_inline:
Compile ele da forma tradicional também.

Instalação concluída. Agora podemos testar. Primeiramente certifique-se que o módulo ip_queue esta carregado.

# lsmod | grep ip_queue

Caso não esteja:

# modprobe ip_queue

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Mãos na massa
   3. Parte divertida - a prática
Outros artigos deste autor

IMHear, Sniffer de mensagens do MSN

VMWare - 3 mãos na roda

Gerenciando relatórios do SARG

Leitura recomendada

Os 5 princípios básicos de segurança para empresas

Instalando e configurando o BackupPC

Como forçar alteração de senha de usuário no próximo login no Linux

O que é ForceCommand

Recon and Scan with Metasploit

  
Comentários
[1] Comentário enviado por y2h4ck em 09/05/2006 - 11:18h

Vale comentar que o snort_inline e feito para trabalhar com o gateway em modo bridge, caso contrario ele nao tem o efeito desejado.

[2] Comentário enviado por Dark_Avatar em 09/05/2006 - 14:31h

Legal cara, interessante isso, de ter um snort que trabalhasse com parceria do iptables, além de ter já a precaução de bloquear determinadas coisas...
Belo artigo.

[3] Comentário enviado por slackrio em 11/05/2006 - 12:11h

Eu uso o snort mais o guardian .. o snort_inline e recomendado para entrar no lugar do snort+guardian ?

valew

[4] Comentário enviado por astrodyum em 11/05/2006 - 18:21h

Cara nao conheco o guardian.

Abraco

[5] Comentário enviado por gilmarjcabral em 17/03/2008 - 12:00h

Sera que teria como fazer a integração do snort + clamav para marrer a rede a procura de virus?
Se alguma estação tiver tentando enviar um virus para as outras maquina o snort + clamav detectar e emitir um aviso.
Desde ja agradeço


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts