форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."

Сообщение от opennews on 06-Май-05, 10:29

snort2c (http://people.hazent.com/~adl/snort2c/h_page/), работая в паре с IDS Snort (http://www.snort.org/), анализирует его вывод и блокирует атакующего используя OpenBSD PF. snort2c основан на snort2pf (ftp://ftp.h07.org/pub/ssc/), но написан на Си. Основные особенности: -  модульность; -  используется kqueue; -  возможность работы с таблицами PF; -  PF управляется системными вызовами; -  возможность работы в фоновом режиме; -  поддержка "белых" списков; -  возможность работы с syslog. URL: http://people.hazent.com/~adl/snort2c/h_page/ Новость: http://www.opennet.me/opennews/art.shtml?num=5426

Cообщить модератору | Наверх | ^

Сообщения по теме

[Сортировка по времени, UBB]

1. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."

Сообщение от robin zlobin on 06-Май-05, 10:29

а не опасно ли это...

Cообщить модератору | Наверх | ^

2. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."

Сообщение от sds on 06-Май-05, 11:43

опасно особено если, как у меня, вся работа идет через инет. Заблокирует нужные сервера -- на выходные - и полезешь в консоль

Cообщить модератору | Наверх | ^

3. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."

Сообщение от Finch (??) on 06-Май-05, 12:31

Ну так можно ж время блокировки выставить. Во всяком случае в snort2pf такая опция была. Выставил блокировку на 5 минут. И особенно не паришься: и тебе хорошо, и серверу хорошо, а злоумышленнику плохо....

Cообщить модератору | Наверх | ^

	4. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
	Сообщение от Аноним on 06-Май-05, 15:10
	угу - и тебе вроде как не особо хорошо, да и злыдню не особо плохо.
	Cообщить модератору | Наверх | ^

	5. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
	Сообщение от _Ale_ (ok) on 06-Май-05, 15:11
	Злоумышленник ставит в крон через каждые 5 мин скан твоих портов с подменой обратного ИП - и ему отлично, а тебе - геммор... имхо - нафиг...
	Cообщить модератору | Наверх | ^

	16. "Злоумышленник в крон 5 мин - а ты раз в день "
	Сообщение от Банзай (??) on 11-Май-05, 01:06
	письмо провайдеру, канальному провайдеру и т.д. Снимает, как рукой.
	Cообщить модератору | Наверх | ^

6. "OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."

Сообщение от uldus (ok) on 06-Май-05, 15:45

Можно делать проще. Вешаем на 22 и 23 порт скрипт который заносит в файервол все IP с которых было установлено TCP соединение :-) sshd биндим на другой порт.

Cообщить модератору | Наверх | ^

	7. "OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
	Сообщение от _Ale_ (ok) on 06-Май-05, 15:52
	а зачем скрипт? pf.conf добавляем строчку, чтоб писал в лог соединения на эти порты...
	Cообщить модератору | Наверх | ^

	8. "OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
	Сообщение от edwin (ok) on 06-Май-05, 18:53
	>Вешаем на 22 и 23 порт скрипт Гораздо проще: ipfw add 1500 drop log tcp from any to me 22 ipfw add 1501 drop log tcp from any to me 23 И париться не надо. А до этих правил вешаем разрешающие доступ с доверреных хостов.
	Cообщить модератору | Наверх | ^

	9. "OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
	Сообщение от _Ale_ (ok) on 06-Май-05, 21:58
	>ipfw add 1500 drop log tcp from any to me 22 >ipfw add 1501 drop log tcp from any to me 23 вообще-то речь идет о PF
	Cообщить модератору | Наверх | ^

	13. "OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
	Сообщение от uldus (ok) on 07-Май-05, 21:48
	>>Вешаем на 22 и 23 порт скрипт >Гораздо проще: Вы не поняли, после обращения к этим портам _полностью_ блокируем доступ к открытым публичным сервисам или всей своей сети, если машина шлюз, для этого IP из скрипта.
	Cообщить модератору | Наверх | ^

10. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."

Сообщение от edwin (ok) on 06-Май-05, 23:01

Можно и на pf. я прсто указал человеку на альтернативу.

Cообщить модератору | Наверх | ^

	11. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
	Сообщение от Горыныч on 07-Май-05, 19:05
	Зачем лишние правила в фаерволе ? host_wrapper уже отменили ? ssh также будет в логи писать попытки соединений с левых ip
	Cообщить модератору | Наверх | ^

	12. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
	Сообщение от Горыныч on 07-Май-05, 19:06
	Пардон, имел в виду tcp wrapper
	Cообщить модератору | Наверх | ^

	14. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
	Сообщение от edwin (ok) on 08-Май-05, 09:37
	>  Зачем лишние правила в фаерволе ? Потому как правила регистрируют ЛЮБЫЕ пришедшие пакеты. И SYN, и FIN и др. Что очень помогает в выявлении хитрых сканирований. А твой метод подходит только для выявления полноценных подключений. ИМХО ... правила firewall'а надежнее
	Cообщить модератору | Наверх | ^

15. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."

Сообщение от неаноним on 09-Май-05, 18:25

Чем это отличается от Snortsam + IPFilter?

Cообщить модератору | Наверх | ^

17. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."

Сообщение от KAA (??) on 11-Май-05, 05:39

а кто нибудь занимался блокированием адресов при получении вирусованного емайла? например в связке postfix + amavis + clamav

Cообщить модератору | Наверх | ^

	18. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
	Сообщение от Cyclone (??) on 11-Май-05, 13:57
	ИМХО неправильно это. Потому как заражённые письма вполне могут прити с "правильного" релея. А Вы его файрволлом собрались...
	Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема