URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 83753
[ Назад ]

Исходное сообщение
"Альтернатива PortSentry"

Отправлено HEDG_SS , 21-Янв-09 14:31 
Предистория:
Возникла необходимость установить на сервер под FreeBSD 7.0 ПО, которое умело бы определять все виды сканирования. Нашел порт PortSentry v1.2 Вещь хорошая, но под FreeBSD не полность реализовали (к примеру под Линуксом он может работать в 6 режимах, а под FreeBSD только в 2). Он умеет определять только полное подключение к выставленным портам tcp и udp( . К сожалению компанию писавшую данный продукт выкупила cisco и на этом все замерло ( .

Какая есть альтернатива Portsentry для FreeBSD?
Основные требования: ОС FreeBSD
Возможность определять все виды сканирования
Возможность вызова какого-то скрипта (выполнение произвольной команды при обнаружении сканирования)
Возможность болеее интелектуальной настройки определения сканирования (т.е блокировать если это действительно сканирование системы, а не "слуячайное" единичное обращение на порт)


Содержание

Сообщения в этом обсуждении
"Альтернатива PortSentry"
Отправлено HEDG_SS , 25-Янв-09 05:18 
Народ, поделитесь опытом кто что использует для защиты своих серверов под FreeBSD, в том числе и от сканирования (как первого этапа атаки). Хотя бы в трех словах условия использования (какой трафик, какое железо, какую нагрузку дает на систему).



"Альтернатива PortSentry"
Отправлено Skif , 25-Янв-09 13:40 
>Народ, поделитесь опытом кто что использует для защиты своих серверов под FreeBSD,
>в том числе и от сканирования (как первого этапа атаки). Хотя
>бы в трех словах условия использования (какой трафик, какое железо, какую
>нагрузку дает на систему).

Я бы посоветовал snort, хотя это скорее не ваш случай. К примеру его я использую совместно с portsentry.


"Альтернатива PortSentry"
Отправлено HEDG_SS , 26-Янв-09 11:15 
>Я бы посоветовал snort, хотя это скорее не ваш случай. К примеру
>его я использую совместно с portsentry.

Читал о snort, много хороших отзывов. Я знаю, что snort система немного другого класса, но все же... Вопрос такой а нельзя реализовать функции Portsentry полностью средставами системы snort, т.е. проверять не только проходящий трафик , а еще и определять попытки сканирования и реагировать на них вызывая сторонний скрипт.