Em Mon, Aug 06, 2001 at 10:38:34AM -0300, Sandro escreveu:
> Help Pessoal
>
> Existe uma maneira de configurar o Snort para bloquear endere�os de
> poss�veis atacantes? Tipo o que o PortSentry faria...
> Praticamente hoje eu s� sou avisado que algu�m ataca minha rede/host... mas
> ele n�o impede que o atacante continue com o servi�o.
E voc� gostaria que ele sa�sse bloqueando IPs? Cuidado.
Imagine algu�m fazendo isso aqui na sua rede:
nmap -sF <seuip> -D a.root-servers.net,b.root-servers.net,c.root-servers.net
e assim por diante, voc� ficaria praticamente impossibilitado de navegar, voc�
e sua empresa. Com um traceroute se descobre seu gateway, e o IP dele pode ser
acrescentado � lista, a� sim nada mais sai da sua rede.
Mas, se mesmo assim voc� quiser essa caracter�stica, veja a p�gina de downloads
do snort (www.snort.org), existem alguns scripts l� que fazem isso, e at� um
que, se n�o me engano, faz o bloqueio ser tempor�rio, e n�o permanente (alguns
minutos, por exemplo).
Outro projeto interessante que usa uma metodologia completamente diferente
do portsentry para evitar ataques � o hogwash (http://hogwash.sourceforge.net/):
"Hogwash lives inline like a firewall, but it works differently. Instead of
closing ports like a traditional firewall, it drops or modifies specific
packets based on a signature match."
Ou seja, ele modifica os pacotes on-the-fly para que n�o causem dano ao inv�s
de simplesmente bloquear o IP do "atacante".
Assinantes em 06/08/2001: 2258
Mensagens recebidas desde 07/01/1999: 126480
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
