The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Интересное ПО: snort2c - автоблокирование злоумышленников через pf

06.05.2005 09:43

snort2c, работая в паре с IDS Snort, анализирует его вывод и блокирует атакующего используя OpenBSD PF.

snort2c основан на snort2pf, но написан на Си.

Основные особенности:

  • модульность;
  • используется kqueue;
  • возможность работы с таблицами PF;
  • PF управляется системными вызовами;
  • возможность работы в фоновом режиме;
  • поддержка "белых" списков;
  • возможность работы с syslog.

    1. Главная ссылка к новости (http://people.hazent.com/~adl/...)
    Автор новости: butcher
    Тип: К сведению
    Короткая ссылка: https://opennet.ru/5426-pf
    Ключевые слова: pf, snort, ids, firewall, security
    Поддержать дальнейшую публикацию новостей на OpenNET.


    Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, robin zlobin (?), 10:29, 06/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а не опасно ли это...
     
  • 1.2, sds (?), 11:43, 06/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    опасно особено если, как у меня, вся работа идет через инет. Заблокирует нужные сервера -- на выходные - и полезешь в консоль
     
  • 1.3, Finch (??), 12:31, 06/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну так можно ж время блокировки выставить. Во всяком случае в snort2pf такая опция была.
    Выставил блокировку на 5 минут. И особенно не паришься: и тебе хорошо, и серверу хорошо, а злоумышленнику плохо....
     
     
  • 2.4, Аноним (4), 15:10, 06/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    угу - и тебе вроде как не особо хорошо, да и злыдню не особо плохо.
     
  • 2.5, _Ale_ (ok), 15:11, 06/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Злоумышленник ставит в крон через каждые 5 мин скан твоих портов с подменой обратного ИП - и ему отлично, а тебе - геммор...
    имхо - нафиг...
     
     
  • 3.16, Банзай (??), 01:06, 11/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    письмо провайдеру, канальному провайдеру и т.д.

    Снимает, как рукой.

     

  • 1.6, uldus (ok), 15:45, 06/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно делать проще. Вешаем на 22 и 23 порт скрипт который заносит в файервол все IP с которых было установлено TCP соединение :-) sshd биндим на другой порт.
     
     
  • 2.7, _Ale_ (ok), 15:52, 06/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    а зачем скрипт?
    pf.conf добавляем строчку, чтоб писал в лог соединения на эти порты...
     
  • 2.8, edwin (ok), 18:53, 06/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Вешаем на 22 и 23 порт скрипт
    Гораздо проще:
    ipfw add 1500 drop log tcp from any to me 22
    ipfw add 1501 drop log tcp from any to me 23
    И париться не надо.
    А до этих правил вешаем разрешающие доступ с доверреных хостов.
     
     
  • 3.9, _Ale_ (ok), 21:58, 06/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >ipfw add 1500 drop log tcp from any to me 22
    >ipfw add 1501 drop log tcp from any to me 23
    вообще-то речь идет о PF
     
  • 3.13, uldus (ok), 21:48, 07/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>Вешаем на 22 и 23 порт скрипт
    >Гораздо проще:

    Вы не поняли, после обращения к этим портам _полностью_ блокируем доступ к открытым публичным сервисам или всей своей сети, если машина шлюз, для этого IP из скрипта.

     

  • 1.10, edwin (ok), 23:01, 06/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно и на pf.
    я прсто указал человеку на альтернативу.
     
     
  • 2.11, Горыныч (?), 19:05, 07/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем лишние правила в фаерволе ?
    host_wrapper уже отменили ? ssh также будет в логи писать попытки соединений с левых ip
     
     
  • 3.12, Горыныч (?), 19:06, 07/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Пардон, имел в виду tcp wrapper
     
  • 3.14, edwin (ok), 09:37, 08/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >  Зачем лишние правила в фаерволе ?
    Потому как правила регистрируют ЛЮБЫЕ пришедшие пакеты.
    И SYN, и FIN и др.
    Что очень помогает в выявлении хитрых сканирований.
    А твой метод подходит только для выявления полноценных подключений.
    ИМХО ... правила firewall'а надежнее
     

  • 1.15, неаноним (?), 18:25, 09/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем это отличается от Snortsam + IPFilter?
     
  • 1.17, KAA (??), 05:39, 11/05/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а кто нибудь занимался блокированием адресов при получении вирусованного емайла? например в связке postfix + amavis + clamav
     
     
  • 2.18, Cyclone (??), 13:57, 11/05/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ИМХО неправильно это. Потому как заражённые письма вполне могут прити с "правильного" релея. А Вы его файрволлом собрались...
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру