fwsnort. übersetzt Snortregeln in ein äquivalentes Iptables-Regelsatz.
Jetzt downloaden

fwsnort. Ranking & Zusammenfassung

fwsnort. Stichworte

Schnauben übersetzt Übersetzt Snortregeln äquivalente Iptables-Regeln iptables regieren fwsnort.

fwsnort. Beschreibung

Übersetzt Snortregeln in ein äquivalentes iptables-Regelsatz. FWSNORT analysiert die in dem Snort Intrusion Detektionssystem enthaltenen Regelndateien und baut ein äquivalentes iptables-Regelsatz für möglichst viele Regeln auf. FWSNORT akzeptiert Befehlszeilenargumente, um die Verarbeitung auf eine bestimmte Klasse von Snort-Regeln wie "DDOs", "Backdoor" oder "Web-Angriffe" einzuschränken. Die Verarbeitung kann sogar auf eine bestimmte Snortre-Regel beschränkt sein, wie sie durch seine "Snort-ID" oder "SID" identifiziert wird .FWSNORT nutzt das iptables string-Match-Modul (zusammen mit einem benutzerdefinierten Patch, der dem IPTables-Benutzerbereich eine Option-String-Option hinzufügt Code) Um Anwendungsstufensignaturen zu erkennen. Hier sind einige wichtige Funktionen von "FWSNORT": · Erkennung von TCP-SYN-, FIN-, Null- und Weihnachts-Scans sowie UDP-Scans. · Erkennung vieler Signaturregeln aus dem Snort Intrusion Detektionssystem. · Forensik-Modus Iptables LogFile-Analyse (nützlich als Forensik-Tool zum Extrahieren von Scaninformationen aus alten IPTables-Logfiles). · Passives Betriebssystem Fingerprinting über TCP-SYN-Pakete. Es werden zwei verschiedene Fingerabdruckstrategien unterstützt. Eine erneute Implementierung von P0F, die strikte ITTables-Protokollnachrichten verwendet (erfordert den Befehlszeilenschalter von --Log-TCP-Optionen) und eine tos-basierte Strategie. · E-Mail-Benachrichtigungen, die TCP / UDP / ICMP-Scan-Merkmale, Reverse DNS und WHOIS-Informationen enthalten, Snort-Regel-Übereinstimmungen, Remote-OS-Rate-Informationen und mehr. · Inhaltsbasierte Warnmeldungen für Pufferüberlaufangriffe, verdächtige Anwendungsbefehle und einem anderen verdächtigen Datenverkehr durch die Verwendung der IPTSLS-String-Match-Verlängerung und der FWSNORT. · ICMP-Typ- und Code-Header-Feldvalidierung. · Konfigurierbare Scan-Schwellenwerte und Gefahrenaufträge. · IPTAles RESTEET-Analyse, um die "Standard-Drop-Richtlinienhilfe" zu überprüfen. · Auto-Zuweisung von IP / Network Danger Level (kann verwendet werden, um den Gefahrenstufen für bestimmte Netzwerke zu ignorieren oder automatisch zu eskalieren). · Dhield-Alarme. · Automatische Blockierung von Scan-IP-Adressen über iptables und / oder TCPRAPPERs basierend auf dem Scan-Gefahrenniveau. (Dies ist standardmäßig nicht aktiviert.) · Statusmodus, der eine Zusammenfassung der aktuellen Scaninformationen mit zugehörigen Paketzählungen, iptables Ketten und Gefahrenstufen anzeigt. Was ist neu in dieser Version: · (Franck Joncourt) Aktualisierte FWSNORT, um die "! Syntax anstelle des älteren" zu verwenden! für die Befehlszeile iptables. · (Franck Joncourt) Für die Matches von - HEX-String und Behebt dies mit einem Patch, der in fwsnort.conf "MAX_STRING_LEN" eine neue Variable fügt, so dass die Größe des Inhalts begrenzt werden kann. Wenn der Inhalt (null terminierte Zeichenfolge) mehr als max_string_len-Zeichen ist, wirft fwsnort die Regel weg. · Fehlerbehebung, um FWSNORT zuzulassen, um Snortregeln ordnungsgemäß übersetzen zu lassen, die "Inhaltsfelder mit eingebetteten entgangenen Semikolons haben (z. B.;"). Dadurch kann FWSNORT um etwa 58 zusätzliche Regeln aus dem aufkommenden Bedrohungs-Regel-Set übersetzen. · Fehlerbehebung, um den Fall unempfindliche Übereinstimmungen zuzulassen, um ordnungsgemäß mit den Argumenten von --include-re-minutless und --exclude-neu zu arbeiten. · Fehlerbehebung, um das Keyword 'Rawbytes "in die Liste der von iptables ignorierenden Schlüsselwörter zu verschieben, die trotzdem ein rohes Match tätigt, da er keine Vorverarbeitungsvorgänge im Snort-Sinne ausführt. · Das Argument von --snort-RFile hinzugefügt, sodass eine bestimmte Snort-Rule-Datei (oder die Liste der durch Kommas getrennten Dateien) analysiert wird. · Ein kleiner Hack hinzugefügt, um den ersten Port aus einer Portliste auszuwählen, bis das Multiport-Match von IPTAles 'Multiport' unterstützt wird. · Aktualisiert zum Konsolidieren von Leerzeichen in Hex-Matches im Skript FWSNORT.SH, da die Räume nicht Teil von Mustern sind, die ohnehin nicht gesucht werden sollen. · Aktualisiert auf die neueste vollständige Regeleinstellung aus aufstrebenden Bedrohungen (siehe http://www.emergreats.net.net/). · Die Datei "FWSNORT-NOBULDREQS.SPEC" für den Aufbau von FWSNORT auf Systemen (z. B. Debian) hinzugefügt, die keine Software per RPM installieren / aktualisieren. Diese Datei gibt die "BuildRequires: Perl-Extutils-Makemaker" -Anweisung aus, und dies fixiert Fehler beim Aufbau von FWSNORT mit RPMBUild: RPM: Um RPM-Pakete auf Debian-Systemen zu installieren, verwenden Sie ALIEN. Siehe readme.debian. · Fehler: Pakete Index können nicht mit DB3 geöffnet werden - Nein solcher Datei oder Verzeichnis (2) · Fehler: Pakete können nicht geöffnet Datenbank in / var / lib / rpm

fwsnort. Zugehörige Software