6 - Snort-inline

O Snort-inline é um modo especial de funcionamento do Snort, integrado com o firewall Iptables/ netfilter para funcionar como um IPS.

Funcionamento:

Pacotes recebidos pelo Iptables são encaminhados para uma fila.
Snort-inline decide pelo encaminhamento.

Cada pacote recebido pelo Iptables é encaminhado para uma fila (queue), para ser processado pelo Snort-inline, que pode descartar pacotes de acordo com as suas regras, de modo que o pacote não é passado adiante pelo processo de roteamento do firewall. Opcionalmente podem ser gerados registros e alertas correspondentes.

Assim como qualquer IPS, a implementação do Snort-inline deve ser realizada com cuidado, pois caso a máquina onde se encontra o IPS fique sobrecarregada, ela pode impactar negativamente no desempenho da rede ou até tornar indisponível o segmento de rede atrás do IPS.

Um dos principais usos do Snort-inline consiste no Projeto Honeynet ( Honeynet Project). Ele foi utilizado como componente principal do honeywall roo (firewall da rede de potes de mel).

Dessa forma, um pesquisador de segurança consegue aprender com as técnicas empregadas pelo atacante. Uma honeynet é um tópico avançado e deve ser utilizada apenas por administradores experientes. Saiba+

Os responsáveis pelo projeto Snort-inline passaram a investir em um novo IDS/IPS open source, chamado suricata. Apesar de recente, ele possui objetivos ambiciosos, podendo vir a ser um novo padrão em IDS/IPS open source. As regras Emerging Treats também estão disponíveis para o Suricata da Open Information Security Foundation (OISF).

Honeynet

Uma honeynet consiste em uma rede com servidores especialmente construídos com o objetivo de atrair atacantes para a honeynet (daí o honey, “mel” em inglês) ou “rede de potes de mel”).

Saiba+

Mais informações sobre o projeto Honeynet podem ser encontradas em: http://www.honeynet.org/.