Holas a todos
Hace poco me pidieron hacer un cambio en lo que habia hecho del IDS, lo que quiere el "jefe" es que snort deetecte los virus que hayan vagando por la red....
la pregunta es:
Puede usarse el snort normalito para detectar virus???
necesita una configuracion especial???
bastaria con comentar todas las reglas y dejar las de virus (y dejar talvez las de bases de datos) ???
o necesito usar snort-inline el cual cuenta con una extencion de ClamAV???
pero tengo entendido (por lo que he leido hasta ahora) que si detecta uno, bloquea o tira el paquete....
ademas snort-inline necesita IPTABLES
esto se registra en los logs???
la tirada es que se muestre ese evento en una interfaz tal como BASE,ACID (Web) o Sguil (usando Tcl/Tk)
Alguna idea???
ya cheque en inter y no hay gran cosa, solo en los foros de snort dicen que hay info en la red, pero no he encontrado, Bleeding-snort asegun maneja unos archivos de reglas para virus, solo encontre uno y Snort (el normalito que ocupo 2.8.0.1) no acepta el archivo de regas.
Agradeceria la orientacion
Sales pues
