Ciao, sto studiando un po' questo IDS ma ho alcune cose poco chiare e spero mi possiate aiutare.
Inizio con lo spiegare cosa voglio fare:
-Ho un server e vorrei rilevare pacchetti che contengono potenziali attacchi come buffer overflow o shellcode, una volta rilevati questi attacchi snort deve:
1)Bloccare il pacchetto prima che arrivi al server e chiudere la connessione malevola.
2)Inviare un log a un server esterno, in cui è contenuto almeno l'IP dell'aggressore e la natura dell'attacco.
Gli altri pacchetti devono solo essere filtrati al server, non voglio salvarli per un'analisi ulteriore.
Tanto per cominciare chiedo: è possibile ottenere un comportamento del genere?
In secondo luogo finora ho visto solo guide che presuppongono che snort si trovi in una macchina separata, tra macchina effettiva e router...non posso mettere snort direttamente sulla macchina del server?
Infine...potete mica guidarmi nella configurazione?O almeno darmi qualche link utile?
Rispondi quotando
, ma posso dirti che mettere l'IDS sulla stessa macchina server da proteggere non è il massimo! Una macchina intermedia tra server e router che agisca da IPS e magari firewall sarebbe ottimale secondo me 
, e introdurrebbe un ulteriore barriera che un malintenzionato dovrebbe oltrepassare. Per la configurazione prova a chiedere nella comunità ufficiale di snort: