¿Puede Sagan bloquear los actos activos una vez que hayan sido detectados?

0

Estoy tratando de determinar si Sagan puede hacer algo similar a fail2ban donde los ataques detectados pueden incluirse temporalmente en la lista negra, a través del firewall del sistema ( iptables ). ¿Sagan tiene alguna capacidad de "contramedidas" o "respuesta activa"?

    
pregunta slm 25.09.2014 - 17:39
fuente

1 respuesta

1

Google he encontrado en esta página titulada: Snortsam: un agente de bloqueo de cortafuegos para Snort que es un complemento para Snort . De acuerdo con esta página de complementos, también se puede integrar con Sagan:

extracto
  

SnortSam también se ha integrado con Sagan, que es un análisis de registro   Motor desarrollado por Champ Clark. El plugin de salida Snortsam y   archivos relacionados (encabezado, Twofish) están disponibles en el Sagan GitHub   repositorio.

     

SnortSam consta de dos partes: el complemento de salida que se encuentra dentro de   Snort ™ y un agente inteligente que se ejecuta en el firewall o en un host   cerca del firewall. El agente proporciona una variedad de capacidades que   vaya más allá de otros mecanismos de bloqueo automatizados, como:

     
  • Compatibilidad con listas blancas de direcciones IP que nunca se bloquearán.
  •   
  • Lista de anulación de tiempo.
  •   
  • Techo máximo de tiempo de bloqueo, así como la definición de tiempo de bloqueo mínimo para las entidades informantes. Flexible, por regla de bloqueo   especificación, incluido el intervalo de tiempo de bloqueo dependiente de la regla.
  •   
  • Una lista de filtros de SID de SID permitidos o denegados según la entidad que informa.
  •   
  • Motor de detección de uso indebido / ataque (incluido el respaldo) que intenta mitigar el riesgo de una denegación de servicio autoinfligida
      en la integración de IDS-Firewall.
  •   
  • Prevención de bloque repetitivo (la misma IP) con una ventana personalizable para mejorar el rendimiento.
  •   
  • Comunicación cifrada TwoFish entre Snort ™ y el agente SnortSam.
  •   
  • Compatibilidad con OPSEC real usando el Checkpoint SDK (complemento opsec).
  •   
  • El seguimiento de bloques y la caducidad de bloques para firewalls que no admiten tiempos de espera.
  •   
  • Subprocesos múltiples para un procesamiento más rápido y el bloqueo simultáneo en múltiples dispositivos.
  •   
  • Registro de archivos y notificación por correo electrónico de eventos. ... y finalmente, usando la arquitectura cliente / servidor (snort / snortsam) para construir grandes,   redes de respuesta distribuida de una manera muy escalable.
  •   
    
respondido por el slm 25.09.2014 - 17:45
fuente

Lea otras preguntas en las etiquetas