Tabela de conteúdo |
Snort é um software livre de detecção de intrusão para rede (NIDS) desenvolvido inicialmente por Martin Roesch, capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes IP.
É bem simples, no início pensei que fosse ser problemático, mas no Debian basta instalar os seguintes pacotes:
# apt-get install snort
você será questionado sobre a subrede que você deseja definir como local, coloque-a com a máscara no formato CIDR.
Para mais configurações, sugerimos realizar o comando de reconfiguração do Debian:
# dpkg-reconfigure snort
que vai permitir escolher a interface, um e-mail para emitir relatórios, quantidade de ocorrências necessárias para que um alerta entre no relatório, dentre outras coisas.
Vamos adicionar as seguintes regras no arquivo local.rules do snort:
# vim /etc/snort/rules/local.rules alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"TO_BAN"; flow:to_server,established; content:"|13|BitTorrent protocol"; depth:20; sid:2181; rev:2;)
estas 2 regras vão filtrar o protocolo do BitTorrent. Para juntarmos com o fail2ban, vamos fazer com que o snort escreva um log que seja compreendido por ele, adicione a seguinte linha ao seu snort.conf:
# vim /etc/snort/snort.conf ... output alert_csv: /var/log/snort/p2p timestamp,dst ...
e reinicie o snort:
# /etc/init.d/snort restart
--Brivaldo 01h44min de 24 de agosto de 2010 (UTC)