Snort in Verbindung mit einer firewalll

Message

Pat... · #1 Post by **Pat...** » 21. Apr 2004 15:46

Hello@all
mich würde es interessieren ob man Snort auch so konfigurieren kann das man angriffe mit einer dahinter stehenden FW blocken kann..
als beispiel:

Das IDS entdeckt einen angriff -> leitet die ip mit einem spezifizierten header an die FW die wiederum blockt die IP dann für 10 min.

hat jemand damit schon erfahrung??? oder hat snort sogar ein plugin das so etwas und mehr kann??

THX

Cheersmichael · #2 Post by **Cheersmichael** » 22. Apr 2004 9:06

Ja geht. Zu faul zum Googlen?

http://www.google.com/search?hl=de&ie=U ... btnG=Suche

erster Hit

http://www.chaotic.org/guardian/

Cheers

Michael

Guest · #3 Post by **Guest** » 22. Apr 2004 10:43

na zu faul zum lesen??
das mit den ip blocken war nur ein beispiel nicht die gesammte antwort

Cheers Michael · #4 Post by **Cheers Michael** » 22. Apr 2004 13:38

Anonymous wrote:na zu faul zum lesen??
das mit den ip blocken war nur ein beispiel nicht die gesammte antwort

Häh? Und dann noch nicht mal der Frager?

Wie auch immer. Ick nehm dann mal an die Hand. In

http://www.chaotic.org/guardian/

taucht das Schlüsselwort für weitere Informationen auf: Active Response

also:

http://www.google.com/search?hl=de&ie=U ... btnG=Suche

dort findet sich schnell, daß Snort in Verbindung mit flexresp genau sowas realisiert, wie auch der o.g. Guardian.

Erfahrungen dazu dann bitte zu einer der Möglichkeiten anfragen. (Weitere über o.g. Google-Link)

Cheers

Michael

CheersMichael · #5 Post by **CheersMichael** » 22. Apr 2004 13:55

Snort PlugIN Active Response

Cheers

Michael