Locked History Actions

Afpakect

Afpakect

Šis modulis veikia tik Linux operacinėse sistemose. Šis modulis naudoja Snort taisykles ir dvi sąsajas, tam kad blokuotų kenksmingą srautą, taip pat nenaudoja jokių papildomų taisyklių, tokiu kaip iptables. Kadangi Snort sistemos darbas turi vykti be sutrikimų, kadangi ši sistema įmituoja tiltą tarp dviejų sąsajų ir nustojus Snort sistemai veikti, duomenų srautas tarp dviejų sąsajų nebe keliaus. Apsidraudimui nuo tokių atvejų kai sistemos darbas sutrinka yra prasminga stebėti sistemos darbą ir taip atsitikus greitai ją perkrauti. Paprastai, konfiguruojant tiltus tarp dviejų sąsajų yra naudojami pagalbiniai Linux OS įrankiai. Tačiau naudojant šį DAQ modulį, Snort sistema pati padaro tiltą tarp dviejų sąsajų, o iš vartotojo pusės tėra reikalinga užtikrinti sąsajų veikimą, prieš Snort sistemos veikimą. Taip pat sąsajoms nėra reikalingi IP adresai. Lyginant su DAQ nfq ir ipfw moduliais, afpacket modulis nepriklauso nuo ip maršrutizavimo. Taip pat nereikia nustatyti Linux operacinės sistemos branduolyje nustatymų leidžiančių maršrutizavimą tarp sąsajų. Keli reikalingi žingsniai, kad inline rėžime Snort DAQ afpacket modulis veiktų korektiškai:

1. Interneto sąsajų konfiguraviams

2. Snort konfiguravimas, kad veiktų su atinkamu DAQ moduliu

3. Tinkamų taisyklių nustatymas, kad aptiktus kenkėjiškus paketus blokuotų.

4. Užtikrinti Snort startavimą po sistemos perkrovimo

5. Tikrinti ar Snort korektiškai veikia

Daugumoje Linux OS kaip ir CentOSoperacinėje sistemoje kiekviena iš tinklo sąsajų yra konfiguruojama šiuose failuose - /etc/sysconfig/network-scripts/ifcfg-<sąsajos pavadinimas>. Nustatinėjant Snort atvirojo kodo programinę įrangą, kad ji veiktų su atitinkamu DAQ moduliu reikia snort.conf faile reikia pridėti tokias eilutes: config daq: afpacket config daq_mode: inline

Snort veikimas po sistemos persikrovimo užtikrinamas taip: /usr/local/bin/snort -D -d -Q -c /etc/snort/etc/snort.conf –I eth0:eth1 Šią eilutę patalpinus į /etc/rc.local faią.