[Snort-users] RE: REGLAS DE SNORT

Petriz, Pablo ppetriz at ...3815...
Wed Jan 29 05:11:01 EST 2003


Mario,

You have to post in english to this list in order to get better responses...
but, lets speak in spanish a little bit:

Snort por sí solo es un IDS (sistema de detección de intrusiones), no genera
respuestas a los ataques, sólo monitorea, crea logs y envía avisos.

Para poder responder a un ataque con acciones directas, tal como cerrar un
puerto en un firewall, deberías investigar productos como Snortsam,
Snort-inline o Hogwash (http://www.snort.org/dl/contrib/patches/) que,
basados en el monitoreo de Snort permiten generar acciones directas.

De todos modos es algo para hacer con mucho cuidado... imaginate programar
uno de estos productos para que cierre determinados puertos ante un escaneo:
desde afuera sería muy simple hacer un ataque que terminaría con tu sitio
inoperable porque tu propia defensa cerró la comunicación.

Espero haberte ayudado, suerte.


PABLO

> Message: 1
> Date: Tue, 28 Jan 2003 22:32:00 -0300 (CLST)
> From: "Mario Alberto Soto Cordones" <mario_soto at ...7276...>
> To: <snort-users at lists.sourceforge.net>
> Subject: [Snort-users] REGLAS DE SNORT
> 
> Hola a todos...
> 
> Me gustar=EDa saber si alguien sabe como configurar acciones 
> en las regla=
> s,
> vale decir... si puedo en las reglas aplicar una respuesta 
> ante un ataque.
> 
> Por ejemplo si alguien me est=E1 haciendo un escaneo , que el snort
> autom=E1ticamente env=EDe como respuesta uma medida de 
> represalia.....???=
> ?
> 
> es posible algo as=ED ???????????????
> 
> Gracias de antemano




More information about the Snort-users mailing list