[FUGSPBR] Firewall com Snort

[Mário Augusto Cardia]

Olá!

Preciso implementar um firewall para protejer uma lan de uma empresa 
e seus servidores. Quanto a protejer a lan, é tranquilo, é só configurar
o firewall do freebsd (eu uso o ipfw). Mas para protejer os servidores
(e-mail e www) fica mais complicado, pq mesmo com o firewall, para que
exista o acesso externo a lan aos servidores, estas portas (25, 110 e
80) devem ficar abertas (mesmo que utilizando o NAT), deixando os
servidores vulneráveis, certo?

Pensei em utilizar o Snort para detectar ataques a estes servidores, mas
o snort apenas detecta e não bloqueia o ataque. Lendo a documentação
vi que utilizando um software do contrib chamado Guardiam é possível
bloquear os IPs, até em outra oportunidade, até desenvolvi um programa
semelhante em C para gerar regras dinâmicas no firewall, mas na mesma
documentação estava um comentário informando que bloquear os IPs não era
recomendado.

Minha dúvida: Se não for para parar o ataque, para que então utilizar um
IDS? Pra ficar olhando os logs? Existe um meio de o próprio snort parar
os ataques ou alguma outra solução pra protejer os servidores?

Só lembrando que o firewall é para uma empresa que não é do ramo da
informática, eles não poderam ficar olhando logs e não sabem atualizar
os servidores com as correções contra as falhas de segurança. Preciso de
uma solução em que o firewall faça esta tarefa.


Obrigado,

[]'s


Mário


________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr