fwsnort traduce las reglas de resoplido en un arreste equivalente a IPTables.
Descargar ahora

fwsnort Clasificación y resumen

fwsnort Etiquetas

Bufido traduce traduce las reglas de snort Regresos equivalentes de IPTables Arreglo IPTables fwsnort

fwsnort Descripción

Traduce las reglas de resúmenes en un arreste equivalente a IPTables. FWSNORT analiza los archivos de reglas incluidos en el sistema de detección de intrusos de snort y se basa en un conjunto de reglas equivalentes de IPTables para tantas reglas como sea posible. FWSNORT acepta los argumentos de la línea de comandos para restringir el procesamiento a cualquier clase particular de reglas de snort, como "DDO", "Backdoor", o "ataques web". El procesamiento puede incluso restringirse a una regla de un resoplamiento específico, tal como se identifica por su "ID de snort" o "SID" .fwsnall utiliza el módulo de coincidencia de cadena IPTables (junto con un parche personalizado que agrega una opción de cadena de eXPAX al espacio de usuario de IPTables Código) Para detectar firmas de nivel de aplicación.fwsnort (opcionalmente) hace uso del módulo IPTables :: Parse el módulo (que se enviará a CPAN) para traducir las reglas de resoplido para el cual se podría pasar potencialmente el tráfico de coincidencia a través del conjunto de arrescadores IPPables existente. Aquí hay algunas características clave de "FWSNORT": · Detección de las exploraciones de TCP SYN, ANT, NULL y XMAS, así como las exploraciones de UDP. · Detección de muchas reglas de firma del sistema de detección de intrusos de snort. · Modo forense IPTables LogFile Analysis (Útil como herramienta forense para extraer información de escaneo de views IPTables LogFiles). · Sistema operativo pasivo Huella digital a través de paquetes SYN TCP. Se apoyan dos estrategias diferentes de huellas dactilares; Una reevaluación de P0F que utiliza estrictamente los mensajes de registro de IPTables (requiere el interruptor de línea de comandos de las opciones de TCP-TCP), y una estrategia basada en TOS. · Alertas por correo electrónico que contienen características de escaneo TCP / UDP / ICMP, DNS inversa y información de WHOIS, coincidencias de reglas de Snort, información remota de SIGUIERTE, y más. · Alertas basadas en contenido para los ataques de desbordamiento de búfer, los comandos de aplicación sospechosos y otros tráfico sospechoso a través del uso de la extensión de coincidencia de cadenas IPTables y FWSnort. · Validación del campo de encabezado de tipo y código ICMP. · Umbrales de escaneo configurables y asignaciones de nivel de peligro. · Análisis de reglas de IPTables para verificar la postura de la política de "caída predeterminada". · Asignación automática de nivel de peligro IP / red (se puede usar para ignorar o escalar automáticamente los niveles de peligro para ciertas redes). · Alertas de Dshield. · Bloqueo automático de direcciones IP de escaneo a través de IPTables y / o TCPWraps basadas en el nivel de peligro de escaneo. (Esto no está habilitado por defecto). · Modo de estado que muestra un resumen de la información de escaneo actual con los conteos de paquetes asociados, las cadenas de iPTables y los niveles de peligro. ¿Qué hay de nuevo en este lanzamiento: · (Franck Joncourt) actualizado FWSNORT para usar la "Sintaxis en lugar de los más antiguos"! Para la línea de comando iptables. · (FRANCK JONCOURT) para las coincidencias de -Ex-cadena y ida, si el argumento excede los 128 bytes (IPTables 1.4.2), entonces IPTables falla con un error "IPTables v1.4.2: cadena demasiado larga". Corrige esto con un parche que agrega una nueva variable en FWSNORT.CONF "MAX_STRING_LEN", de modo que el tamaño del contenido puede ser limitado. Si el contenido (cadena terminada nula) es más que max_string_len chars, FWSNORT lanza la regla. · Solución de errores para permitir que FWSNORT traduzca correctamente las reglas de snort que tengan campos de "contenido" con semicolonos escapados incrustados (por ejemplo, ";"). Esto permite a FWSnort traducir alrededor de 58 reglas adicionales del conjunto de reglas de amenazas emergentes. · Solución de errores para permitir que las coincidencias insensibles de casos funcionen correctamente con los argumentos de -incluir-re-enexseless y -exclude-reaseless. · Corrección de errores Para mover la palabra clave 'RAWBYTES' a la lista de palabras clave que se ignoran, ya que IPTables realiza una coincidencia en bruto de todos modos, ya que no ejecuta ningún preprocesador en el sentido del resorte. · Se agregó el argumento de -Snort-RFile para que se analice un archivo de reglas de resoplido específico (o una lista de archivos separados por comas). · Se agregó un pequeño truco para elegir el primer puerto de una lista de puertos hasta que se admite la coincidencia de IPTables 'Multiport'. · Actualizado para consolidar espacios en coincidencias hexagonales en el script FWSNORT.SH, ya que los espacios no son parte de los patrones que deben registrarse de todos modos. · Actualizado a la última regla completa establecida a partir de amenazas emergentes (consulte http://www.emergingthreats.net/). · Se agregó el archivo "FWSNORT-NOBUILDREQS.SPEC" para construir FWSNORT en sistemas (como Debian) que no instalan / actualizar el software a través de RPM. Este archivo omite la directiva "BuildReQuires: Perl-Extutils-Makemaker", y esto corrige errores como lo siguiente en un sistema Ubuntu al crear FWSNORT con RPMBUILD: RPM: Para instalar paquetes de RPM en los sistemas Debian, use Alien. Ver readme.debian. · ERROR: No se puede abrir el índice de paquetes usando DB3 - No hay dicho archivo o directorio (2) · ERROR: No se puede abrir la base de datos de paquetes en / var / lib / rpm

fwsnort Software relacionado