The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
Сообщение от opennews on 06-Май-05, 10:29 
snort2c (http://people.hazent.com/~adl/snort2c/h_page/), работая в паре с IDS Snort (http://www.snort.org/), анализирует его вывод и блокирует атакующего используя OpenBSD PF.


snort2c основан на snort2pf (ftp://ftp.h07.org/pub/ssc/), но написан на Си.

Основные особенности:
-  модульность;
-  используется kqueue;
-  возможность работы с таблицами PF;
-  PF управляется системными вызовами;
-  возможность работы в фоновом режиме;
-  поддержка "белых" списков;
-  возможность работы с syslog.


URL: http://people.hazent.com/~adl/snort2c/h_page/
Новость: http://www.opennet.ru/opennews/art.shtml?num=5426

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Сообщение от robin zlobin on 06-Май-05, 10:29 
а не опасно ли это...
Cообщить модератору | Наверх | ^

2. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Сообщение от sds on 06-Май-05, 11:43 
опасно особено если, как у меня, вся работа идет через инет. Заблокирует нужные сервера -- на выходные - и полезешь в консоль
Cообщить модератору | Наверх | ^

3. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Сообщение от Finch email(??) on 06-Май-05, 12:31 
Ну так можно ж время блокировки выставить. Во всяком случае в snort2pf такая опция была.
Выставил блокировку на 5 минут. И особенно не паришься: и тебе хорошо, и серверу хорошо, а злоумышленнику плохо....
Cообщить модератору | Наверх | ^

4. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Сообщение от Аноним email on 06-Май-05, 15:10 
угу - и тебе вроде как не особо хорошо, да и злыдню не особо плохо.
Cообщить модератору | Наверх | ^

5. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Сообщение от _Ale_ (ok) on 06-Май-05, 15:11 
Злоумышленник ставит в крон через каждые 5 мин скан твоих портов с подменой обратного ИП - и ему отлично, а тебе - геммор...
имхо - нафиг...
Cообщить модератору | Наверх | ^

16. "Злоумышленник в крон 5 мин - а ты раз в день "
Сообщение от Банзай email(??) on 11-Май-05, 01:06 
письмо провайдеру, канальному провайдеру и т.д.

Снимает, как рукой.

Cообщить модератору | Наверх | ^

6. "OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
Сообщение от uldus (ok) on 06-Май-05, 15:45 
Можно делать проще. Вешаем на 22 и 23 порт скрипт который заносит в файервол все IP с которых было установлено TCP соединение :-) sshd биндим на другой порт.
Cообщить модератору | Наверх | ^

7. "OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
Сообщение от _Ale_ (ok) on 06-Май-05, 15:52 
а зачем скрипт?
pf.conf добавляем строчку, чтоб писал в лог соединения на эти порты...
Cообщить модератору | Наверх | ^

8. "OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
Сообщение от edwin email(ok) on 06-Май-05, 18:53 
>Вешаем на 22 и 23 порт скрипт
Гораздо проще:
ipfw add 1500 drop log tcp from any to me 22
ipfw add 1501 drop log tcp from any to me 23
И париться не надо.
А до этих правил вешаем разрешающие доступ с доверреных хостов.
Cообщить модератору | Наверх | ^

9. "OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
Сообщение от _Ale_ (ok) on 06-Май-05, 21:58 
>ipfw add 1500 drop log tcp from any to me 22
>ipfw add 1501 drop log tcp from any to me 23
вообще-то речь идет о PF
Cообщить модератору | Наверх | ^

13. "OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
Сообщение от uldus (ok) on 07-Май-05, 21:48 
>>Вешаем на 22 и 23 порт скрипт
>Гораздо проще:

Вы не поняли, после обращения к этим портам _полностью_ блокируем доступ к открытым публичным сервисам или всей своей сети, если машина шлюз, для этого IP из скрипта.

Cообщить модератору | Наверх | ^

10. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Сообщение от edwin email(ok) on 06-Май-05, 23:01 
Можно и на pf.
я прсто указал человеку на альтернативу.
Cообщить модератору | Наверх | ^

11. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Сообщение от Горыныч on 07-Май-05, 19:05 
Зачем лишние правила в фаерволе ?
host_wrapper уже отменили ? ssh также будет в логи писать попытки соединений с левых ip
Cообщить модератору | Наверх | ^

12. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Сообщение от Горыныч on 07-Май-05, 19:06 
Пардон, имел в виду tcp wrapper
Cообщить модератору | Наверх | ^

14. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Сообщение от edwin email(ok) on 08-Май-05, 09:37 
>  Зачем лишние правила в фаерволе ?
Потому как правила регистрируют ЛЮБЫЕ пришедшие пакеты.
И SYN, и FIN и др.
Что очень помогает в выявлении хитрых сканирований.
А твой метод подходит только для выявления полноценных подключений.
ИМХО ... правила firewall'а надежнее
Cообщить модератору | Наверх | ^

15. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Сообщение от неаноним email on 09-Май-05, 18:25 
Чем это отличается от Snortsam + IPFilter?
Cообщить модератору | Наверх | ^

17. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Сообщение от KAA email(??) on 11-Май-05, 05:39 
а кто нибудь занимался блокированием адресов при получении вирусованного емайла? например в связке postfix + amavis + clamav
Cообщить модератору | Наверх | ^

18. "Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Сообщение от Cyclone email(??) on 11-Май-05, 13:57 
ИМХО неправильно это. Потому как заражённые письма вполне могут прити с "правильного" релея. А Вы его файрволлом собрались...
Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру