snort2c (http://people.hazent.com/~adl/snort2c/h_page/), работая в паре с IDS Snort (http://www.snort.org/), анализирует его вывод и блокирует атакующего используя OpenBSD PF.
snort2c основан на snort2pf (ftp://ftp.h07.org/pub/ssc/), но написан на Си.Основные особенности:
- модульность;
- используется kqueue;
- возможность работы с таблицами PF;
- PF управляется системными вызовами;
- возможность работы в фоновом режиме;
- поддержка "белых" списков;
- возможность работы с syslog.
URL: http://people.hazent.com/~adl/snort2c/h_page/
Новость: http://www.opennet.me/opennews/art.shtml?num=5426
а не опасно ли это...
опасно особено если, как у меня, вся работа идет через инет. Заблокирует нужные сервера -- на выходные - и полезешь в консоль
Ну так можно ж время блокировки выставить. Во всяком случае в snort2pf такая опция была.
Выставил блокировку на 5 минут. И особенно не паришься: и тебе хорошо, и серверу хорошо, а злоумышленнику плохо....
угу - и тебе вроде как не особо хорошо, да и злыдню не особо плохо.
Злоумышленник ставит в крон через каждые 5 мин скан твоих портов с подменой обратного ИП - и ему отлично, а тебе - геммор...
имхо - нафиг...
письмо провайдеру, канальному провайдеру и т.д.Снимает, как рукой.
Можно делать проще. Вешаем на 22 и 23 порт скрипт который заносит в файервол все IP с которых было установлено TCP соединение :-) sshd биндим на другой порт.
а зачем скрипт?
pf.conf добавляем строчку, чтоб писал в лог соединения на эти порты...
>Вешаем на 22 и 23 порт скрипт
Гораздо проще:
ipfw add 1500 drop log tcp from any to me 22
ipfw add 1501 drop log tcp from any to me 23
И париться не надо.
А до этих правил вешаем разрешающие доступ с доверреных хостов.
>ipfw add 1500 drop log tcp from any to me 22
>ipfw add 1501 drop log tcp from any to me 23
вообще-то речь идет о PF
>>Вешаем на 22 и 23 порт скрипт
>Гораздо проще:Вы не поняли, после обращения к этим портам _полностью_ блокируем доступ к открытым публичным сервисам или всей своей сети, если машина шлюз, для этого IP из скрипта.
Можно и на pf.
я прсто указал человеку на альтернативу.
Зачем лишние правила в фаерволе ?
host_wrapper уже отменили ? ssh также будет в логи писать попытки соединений с левых ip
Пардон, имел в виду tcp wrapper
> Зачем лишние правила в фаерволе ?
Потому как правила регистрируют ЛЮБЫЕ пришедшие пакеты.
И SYN, и FIN и др.
Что очень помогает в выявлении хитрых сканирований.
А твой метод подходит только для выявления полноценных подключений.
ИМХО ... правила firewall'а надежнее
Чем это отличается от Snortsam + IPFilter?
а кто нибудь занимался блокированием адресов при получении вирусованного емайла? например в связке postfix + amavis + clamav
ИМХО неправильно это. Потому как заражённые письма вполне могут прити с "правильного" релея. А Вы его файрволлом собрались...