Интересные статьи


Предотвращение и сдерживание сетевых вторжений с помощью Snortjnline

Для предотвращения вторжений или для их остановки в случае обнаружения установите на межсетевой экран Snortjnline. Было бы здорово, если бы NIDS могли не только обнаруживать вторжение, но и предпринимать что-либо для его нейтрализации. Хорошо, если бы они могли остановить проникновение на атакуемый узел, но еще лучше, если бы они блокировали весь сетевой трафик, распространяющий атаку. Это можно сделать с помощью Snortjnline (snort-inline.sf.net). Все эьо применимо как для Linux так и для Windows (например, windows server 2008 standart).

Snortjnline — это обновление (patch) для Snort, позволяющее прочитывать данные из очереди Netfilter в ядре Linux, что обеспечивает эффективную интеграцию Snort в этот межсетевой экран. Реализовать это можно на любом устройстве, будь то ноутбук, ультрабук или планшетный ПК. Кстати, если Вам требуется быстрый и качественный ремонт планшета Ipad в Краснодаре, тогда советуем посетить сайт sql.xp-7.ru.При этом не только обнаруживается вторжение, но и принимается решение: сбросить пакеты или перенаправить их на другой узел (с помощью Libnet). Конечно же, это требует перекомпиляции ядра с поддержкой IP-очереди (IP queue) статически либо в качестве отдельного модуля.

Помимо того что Snort теперь захватывает пакеты от Netfilter, а не от libpcap, обновление добавляет в него три новых типа правил: drop, sdrop и reject. Тип drop будет сбрасывать пакеты, запустившие правило без уведомления отправляющего узла (так же, как DROP в iptables), выполняя лишь протоколирование. Тип sdrop аналогичен предыдущему, но выполняется без протоколирования. Использование типа reject приводит к блокировке «враждебного» пакета, но с уведомлением отправляющей стороны с помощью TCP RST либо сообщением о невозможности доставки ICMP — в зависимости от типа протокола, используемого пакетом, запустившим правило: TCP либо UDP соответственно. Новый параметр правил, добавленный за счет обновления Snortjnline, позволяет заменять любое содержание пакета любым значением.

Единственное требование к замене: длина замещения должна быть равна длине замещаемого потока байтов. Это реализуется с помощью параметра replace, используемого совместно с параметром content. Snortjnline запускается так же, как и Snort, хотя обновление Snortjnline добавило новый ключ командной строки -Q, заставляющий использовать IP-очередь, а не libpcap. Этот ключ используется для включения inline-режима.

Если вы выполняете удаленное администрирование машины, то захотите запускать Snortjnline до включения правил QUEUE, поскольку теперь передавать пакеты назад и вперед будет Snortjnline. В противном случае удаленная регистрация будет сброшена, как только будут активизированы правила iptables. Если BVF действительно так хочется, заставьте правила с QUEUE игнорировать пакеты, поступающие с определенного IP-адреса или диапазона адресов.
 
Фотогалерея
Статьи компании
Новости
Поиск партнеров
Как нас найти
Магазин
Реклама
Статьи по теме

  поиск

 
по сайту в Интернете
  наши контакты

Казахстан, город Алматы
8 микр, дом 4 "А", офис 2
пр. Абая, уг. ул. М. Залки
схема проезда

 
  Объявления
Продаётся GPS антенна-приёмник...

Продаётся GPS антенна-приёмник...

Продаётся автомобильная радиостанция...

Продаются 2 участка земли...





© 2004-2009 INDRA-TOUR Все права защищены. службы мониторинга серверов

Конфиденциальность | Защита интеллектуальной собственности

indra-tour monitoring system (v.4.1)
by microcom labs
copyright © 2006
Рейтинг GPS Клуба Рейтинг@Mail.ru
topturizm