| 1.1, Аноним (1), 22:13, 13/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Видимо, хорошая штука, но я её так и не осилил (хотя правила где-то использовал). Surricata как-то более дружелюбна в конфигурации показалась. И у snort проблемы с производительностью.
| | |
| |
| 2.4, pin (??), 00:09, 14/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> И у snort проблемы с производительностью.
Вам опять же показалось.
| | |
| |
| 3.8, Аноним (1), 07:46, 14/04/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
Судя по моему опыту с суррикатой, для сохранения нервов, дома лучше не знать ничего из замечаемого ею. Есть и false-positive, конечно. Но не только. -_-
| | |
|
|
| 1.3, Аноним (3), 00:04, 14/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Интересно, чем анониму, сообщение которого скрыл модератор, suricata не понравилась?
| | |
| 1.5, Аноним (5), 01:37, 14/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что ты должен постоянно смотреть в логи, а если вдруг расслабился и решил отвлечься на часок, то по возвращении обнаружишь, что уже нет ни логов, ни системы?
| | |
| |
| 2.7, www2 (??), 07:16, 14/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это что за система такая, которую настолько просто взломать, что её нужно в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если увидишь предупреждение? Успеешь сетевой шнурок выдернуть? А если она постоянно будет сыпать сообщениями о попытках сканирования, об обнаруженных сигнатурах атак и т.п., то ты так и будешь постоянно сетевой шнурок дpочить?
| | |
| |
| 3.14, Аноним84701 (ok), 12:53, 14/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
 > Это что за система такая, которую настолько просто взломать, что её нужно
> в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если
> увидишь предупреждение? Успеешь сетевой шнурок выдернуть?
Нужна возможность быстро выставлять настройки "super high security", как и диалог с большой, красной кнопкой, одним нажатием которой останавливаешь весь сетевой трафик!
Ну и не щелкать клювом!
http://db0smg.de/software/ftp/windows/internet/zonealarm/help/images/active_p
http://db0smg.de/software/ftp/windows/internet/zonealarm/help/images/security
Если что, есть оригинал, умевший все это давным-давно
*копается в цифровой мусор^W кладовке*
-rw-r----- 1 Аноним Аноним 1,7M 27 дек. 2000 /home/аноним/old/d/old/f/oldc/old c/D temp/TOOLS/ZONEAL~1/ZONALARM.EXE
а не эти ваши новомодные смузи-каты!
| | |
|
| 2.9, Andrey (??), 09:19, 14/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь
> мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что
> ты должен постоянно смотреть в логи, а если вдруг расслабился и
> решил отвлечься на часок, то по возвращении обнаружишь, что уже нет
> ни логов, ни системы?
Есть GUI. Называется Cisco Firepower или Cisco FTD. Но там тоже нет "пищалки для трея".
Это комплексная защита периметра, а не десктопное приложение для админов localhost.
| | |
| |
| 3.10, нах. (?), 10:01, 14/04/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Вы бл@ство с разнообразием-то не путайте.
Firepower это NG-файрвол с встроенным IPS, а не полубесполезная IDS, как снорты с сурикатами. И суть его не в уепп-интерфейсе, а что он умеет САМ решать, когда пора вмешаться в траффик. В худшем случае по возвращении обнаружишь, что очередной настроенный макакой дырявый линукс отключен от сети до выяснения.
И его логи не надо читать в трее, их читают по факту письма дорогого пользователя "ой, а чо-та-чо-та у меня работать перестало" - обычно вслух, под равномерный свист плети г-на экзекутора, вырывающей из его жопы очередной кусок шкуры. Потому как ложные срабатывания у правильно настроенного редки.
А что в 2k20 делать с голой IDS, кроме как чтения ее логов налету - действительно, совершенно непонятно. Пользы от нее только то, что циска на админах локалхоста тренирует паттерны, но и тут засада - паттерны-то что получше она норовит продавать, а не раздавать.
Ну чо вы хотите от софта конца 90х? Вы бы еще outpost firewall тех лохматых готов вспомнили.
| | |
| |
| 4.19, fff (??), 15:50, 14/04/2020 [^] [^^] [^^^] [ответить]
| +/– |
Если оно умеет сканы и атаки детектить, то осталось только брать ip из лога и блочить, не?
Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит денег.
| | |
| |
| 5.20, нах. (?), 17:15, 14/04/2020 [^] [^^] [^^^] [ответить] | +1 +/– | я тебе этот ip и без суперсистемы продиктую, записывай 0 0 0 0 0 А если твоя си... большой текст свёрнут, показать | | |
|
|
|
| 2.27, bobr (?), 02:40, 15/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Эта штука не для десктопов. Тебе она не понадобится. Точно.
| | |
|
| 1.12, Урри (?), 12:43, 14/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются пароли к ссш подобрать в локалочке? Желательно, что-то простое "поставил и забыл".
| | |
| |
| 2.13, Аноним (13), 12:51, 14/04/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Хватит и авторизации только по ключам. Если хочется большего, то fail2ban.
| | |
| |
| |
| |
| 5.25, Валик (?), 19:25, 14/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> поставил
не нужно захламлять систему велосипедами, когда как необходимые средства давным-давно встроены прям в ядро:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH_BF --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name SSH_BF --rsource -j DROP
возможно придется подтюнить размер выделяемой области памяти под списки баненых айпи, а то там по умолчанию что-то сотня всего.. делается это через передачу параметра ядру (xt_recent.ip_list_tot=) или соответствующей правкой в /etc/modprobe.d/bla-bla.
так же рекомендуется подстроить сам ssh. хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.
и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...
| | |
| |
| 6.26, Урри (?), 22:32, 14/04/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> возможно придется подтюнить ... делается это через передачу параметра ядру
Спасибо, мне чтобы работало, а не потрaхаться.
Времена, когда я возился с тюнингом ядра прошли, у меня более насущные проблемы.
> хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.
это есть.
> и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...
Спасибо, не надо. Я 20 лет назад этим плотно занимался, когда поддерживал сеть локального интернет провайдера. Больше не хочу.
Если передо мной встанет задача подобного масштаба, я с удовольствием приглашу соответствующего специалиста, а пока мне оказалось полностью достаточно fail2ban, /var/log/fail2ban.log подтверждает.
Found 123.206.90.149 - 2020-04-14 22:24:03
Found 123.206.90.149 - 2020-04-14 22:24:05
Found 49.234.44.48 - 2020-04-14 22:24:18
Ban 49.234.44.48
Found 49.234.44.48 - 2020-04-14 22:24:20
Found 91.225.77.52 - 2020-04-14 22:24:33
Found 91.225.77.52 - 2020-04-14 22:24:35
| | |
| |
| 7.28, Валик (?), 03:33, 15/04/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
весь "секс" от озвученного мною способа заключался бы во вводе аж 2х строк в консольке.
ты же, мало того что наставил себе кучу ненужных и дублирующих стандартный функционал сервисов из баш-портянок и демонов, проигнорировал добрые советы (а запас карман не тянет) и расписался тем самым в собственной несостоятельности, так еще и, зачем-то, напоследок поведал мне и другим слушателям множество увлекательнейших историй о своей жизни и о становлении тебя как взрослой личности. понимаю, ты считаешь что это кому-то интересно весьма.. но смею уверить, что лучше бы ты эти сказочки для детишек своих приберег - те хотя бы не скажут тебе в глаза о том, как глупо и сказочно все это звучит со стороны.
| | |
|
|
|
|
|
| 2.18, нах. (?), 14:29, 14/04/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
> А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются
> пароли к ссш подобрать в локалочке?
ufw deny in from 172.16.0.0/12 ssh - вроде бы, так ? ну или to any port 22, если я опять не угадал единственноверный синтаксический сахарок
Ты ведь не собираешься с другого компьютера в локалочке к себе же ssh'ем?
А советчиков с файлобаном гони в шею - это отличный способ самому себе заблокировать доступ - причем абсолютно ни от чего не помогающий.
| | |
| |
| 3.22, Урри (?), 18:17, 14/04/2020 [^] [^^] [^^^] [ответить]
| +/– | |
В том то и проблема, что собираюсь. Иногда приходится к себе залазить. Порт, конечно, давно кастомный стоит и машинка за натом (через форвардинг).
А тут глянул - регулярно с разных машин ломятся, причем видно боты, пароли пытаются подобрать.
| | |
|
|
| 1.15, Аноним (15), 13:45, 14/04/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> Компания Cisco опубликовала
А когда программисты компании Цыско наконец научатся писать правильно сервисы под Unix?
Все "административные" дела по созданию каталогов для логов и pid с нужными правами, всегда должен выполнять инитскрипт, а не сервис. Понимаю, что они типа потом сбрасывают права root но все же из за этого snort нельзя запускать в строго изолированном окружении.
| | |
|
