Web filtering con REACT
Ciao a tutti,
Nuovo articolo su WEB FILTERING con REACT funzionate anche su macchine client windows.
Grazie alle modifiche fatte da Nicola Mondinelli:
link -> http://www.snortattack.org/docs/IPS_react.pdf
link -> http://www.snortattack.org/sp_react.c (SNORT <= 2.8.3.2)
alla riga 313 editare il valore della variabile tmp_head[]
HTTP/1.1 302 FOUND\r\nLocation:http://google.com\r\nServer: Snort/2.8.3.2\r\nConnection:Close\r\nContent-Type: text/html\r\n\r\n
*google.com è il sito a cui redirigere i client
rules di esempio:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"REACT RULES";flow: to_server,established;content:"example.com";classtype: policy-violation;sid:9999; react: block, msg ;)
*example.com è il sito da bloccare
Per le versioni di SNORT successive alla 2.8.3.2 modificare alla riga 306 la variabile tmp_buf1[] allo stesso modo descritto sopra.
Enjoy!
Snortattack TEAM!