Blokkeer netwerkaanvallen met fwsnort
Gepubliceerd: Donderdag 4 augustus 2011
Auteur: Koen Vervloesem
Met een intrusion detection system zoals Snort detecteer je aanvallen, maar de aanvaller wordt niet gestopt. Het programma fwsnort blokkeert de door Snort gedetecteerde aanvallen automatisch.
Het programma fwsnort analyseert de regels waarmee je het intrusion detection systeem Snort geconfigureerd hebt en creëert als resultaat het shellscript /etc/fwsnort/fwsnort.sh, dat equivalente regels voor de Linux-firewall iptables aanmaakt. Op deze manier kun je verdacht netwerkverkeer dat je met Snort detecteert onmiddellijk ook blokkeren. Volgens de makers is fwsnort in staat om zo'n 60% van alle Snort-regels automatisch te vertalen naar equivalente iptables-regels.
Je kunt ook het genereren van iptables-regels beperken tot bepaalde Snort-regels, bijvoorbeeld:
# fwsnort --include-type ddos,backdoor
Of enkel voor regels met specifieke Snort ID's:
# fwsnort --snort-sid 2008475,2003268
Uiteraard kun je fwsnort ook de opdracht geven om alleen het verkeer dat over specifieke netwerkinterfaces gaat te analyseren:
# fwsnort --restrict-intf eth0,eth1
Fwsnort ondersteunt IPv6 met de optie -6. Meer informatie over alle mogelijke opties vind je in de man-pagina. Onlangs kwam versie 1.6 van fwsnort uit. Het programma vereist dat de iptables "String match" kernelmodule geladen is, en ook de Perl-module IPTables::Parse moet geïnstalleerd zijn, evenals Snort zelf uiteraard.
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
