Компания Cisco опубликовала релиз Snort 2.9.16.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52729
Видимо, хорошая штука, но я её так и не осилил (хотя правила где-то использовал). Surricata как-то более дружелюбна в конфигурации показалась. И у snort проблемы с производительностью.
> И у snort проблемы с производительностью.Вам опять же показалось.
А для дома эта штука пригодится?
Судя по моему опыту с суррикатой, для сохранения нервов, дома лучше не знать ничего из замечаемого ею. Есть и false-positive, конечно. Но не только. -_-
Очередной, индусо бэкдор, который защищает от индусского софта? Прекрасная /б/езопасность.
Интересно, чем анониму, сообщение которого скрыл модератор, suricata не понравилась?
Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что ты должен постоянно смотреть в логи, а если вдруг расслабился и решил отвлечься на часок, то по возвращении обнаружишь, что уже нет ни логов, ни системы?
Это что за система такая, которую настолько просто взломать, что её нужно в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если увидишь предупреждение? Успеешь сетевой шнурок выдернуть? А если она постоянно будет сыпать сообщениями о попытках сканирования, об обнаруженных сигнатурах атак и т.п., то ты так и будешь постоянно сетевой шнурок дpочить?
> Это что за система такая, которую настолько просто взломать, что её нужно
> в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если
> увидишь предупреждение? Успеешь сетевой шнурок выдернуть?Нужна возможность быстро выставлять настройки "super high security", как и диалог с большой, красной кнопкой, одним нажатием которой останавливаешь весь сетевой трафик!
Ну и не щелкать клювом!
http://db0smg.de/software/ftp/windows/internet/zonealarm/hel...
http://db0smg.de/software/ftp/windows/internet/zonealarm/hel...Если что, есть оригинал, умевший все это давным-давно
*копается в цифровой мусор^W кладовке*
-rw-r----- 1 Аноним Аноним 1,7M 27 дек. 2000 /home/аноним/old/d/old/f/oldc/old c/D temp/TOOLS/ZONEAL~1/ZONALARM.EXE
а не эти ваши новомодные смузи-каты!
> Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь
> мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что
> ты должен постоянно смотреть в логи, а если вдруг расслабился и
> решил отвлечься на часок, то по возвращении обнаружишь, что уже нет
> ни логов, ни системы?Есть GUI. Называется Cisco Firepower или Cisco FTD. Но там тоже нет "пищалки для трея".
Это комплексная защита периметра, а не десктопное приложение для админов localhost.
Вы бл@ство с разнообразием-то не путайте.Firepower это NG-файрвол с встроенным IPS, а не полубесполезная IDS, как снорты с сурикатами. И суть его не в уепп-интерфейсе, а что он умеет САМ решать, когда пора вмешаться в траффик. В худшем случае по возвращении обнаружишь, что очередной настроенный макакой дырявый линукс отключен от сети до выяснения.
И его логи не надо читать в трее, их читают по факту письма дорогого пользователя "ой, а чо-та-чо-та у меня работать перестало" - обычно вслух, под равномерный свист плети г-на экзекутора, вырывающей из его жопы очередной кусок шкуры. Потому как ложные срабатывания у правильно настроенного редки.
А что в 2k20 делать с голой IDS, кроме как чтения ее логов налету - действительно, совершенно непонятно. Пользы от нее только то, что циска на админах локалхоста тренирует паттерны, но и тут засада - паттерны-то что получше она норовит продавать, а не раздавать.
Ну чо вы хотите от софта конца 90х? Вы бы еще outpost firewall тех лохматых готов вспомнили.
Если оно умеет сканы и атаки детектить, то осталось только брать ip из лога и блочить, не?
Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит денег.
я тебе этот ip и без суперсистемы продиктую, записывай: 0.0.0.0/0
А если твоя система работает для каких-то там людей, и в их наличии ты каким-то образом заинтересован (неважно, for fun, или тебе зарплату платят) - то обломись бабка, мы на корабле.> Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит
> денег.внезапно, не только это. Хорошие системы ips стоят оооочень хороших денег еще и отдельно от подписок. Иногда базовая подписка вообще к ним бесплатна, приложением к плате за обслуживание. И вот оно-то оказывается нужно.
139.208.0.0/13, конечно, можешь без всякого снорта заблочить. Или не можешь, если у тебя есть клиенты в Китае.
А остальной мой свежий урожай за вчера вот так выглядит:
4 208 dynamicip-37-113-188-76.pppoe.chel.ertelecom.ru
8 512 212.46.18.0/24
2 104 host-91-105-184-125.bbcustomer.zsttk.net
3 156 net-31-132-211-144.king-online.ru
97 4928 ip.178-69-40-160.avangarddsl.ru
2 104 pppoe.178-65-167-56.dynamic.avangarddsl.ru
5 256 46.164.243.125
345 20700 46.164.192.0/18
6 312 128-75-131-47.broadband.corbina.ru
6 304 95-55-37-53.dynamic.avangarddsl.ruвот это - по сумме параметров, точно не люди (а если люди - то плохие п-сы). Но адреса эти блокировать не просто бесполезно, а откровенно вредно. Как только ты его заблокируешь, он дернет свой adsl, и к тебе придет с другого адреса, а этот достанется, вполне возможно, как раз твоему пользователю. Наоборот - с ним надо дружить, сессию обязательно устанавливать, принимать по одному байту в час, не забывая про keepalive, чтоб он не свалил, другим гадить.
Поэтому - только IPS. Рвущий конкретную сессию, а не блочащий идиотски адрес. И не дающий мусору вообще дойти до адресата в большинстве случаев, а не вмешивающийся постфактум, когда уже и незачем.
При этом у него таки есть интерфейс и мониторинг, но показывают они при правильном подходе совсем другое - ситуацию, когда на тебя идет прицельная атака, и надо искать казачков засланных, или пароли менять.
fail2ban уже "изобрели"
> А что в 2k20 делатьВы там в 2200 совсем отупели?
логи в эластиксеарч и визуализация на кибане https://github.com/robcowart/elastiflow
Эта штука не для десктопов. Тебе она не понадобится. Точно.
А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются пароли к ссш подобрать в локалочке? Желательно, что-то простое "поставил и забыл".
Хватит и авторизации только по ключам. Если хочется большего, то fail2ban.
Спасибо, гляну.
Поставил, работает.
> поставилне нужно захламлять систему велосипедами, когда как необходимые средства давным-давно встроены прям в ядро:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH_BF --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name SSH_BF --rsource -j DROP
возможно придется подтюнить размер выделяемой области памяти под списки баненых айпи, а то там по умолчанию что-то сотня всего.. делается это через передачу параметра ядру (xt_recent.ip_list_tot=) или соответствующей правкой в /etc/modprobe.d/bla-bla.
так же рекомендуется подстроить сам ssh. хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.
и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...
> возможно придется подтюнить ... делается это через передачу параметра ядруСпасибо, мне чтобы работало, а не потрaхаться.
Времена, когда я возился с тюнингом ядра прошли, у меня более насущные проблемы.> хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.
это есть.
> и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...
Спасибо, не надо. Я 20 лет назад этим плотно занимался, когда поддерживал сеть локального интернет провайдера. Больше не хочу.
Если передо мной встанет задача подобного масштаба, я с удовольствием приглашу соответствующего специалиста, а пока мне оказалось полностью достаточно fail2ban, /var/log/fail2ban.log подтверждает.Found 123.206.90.149 - 2020-04-14 22:24:03
Found 123.206.90.149 - 2020-04-14 22:24:05
Found 49.234.44.48 - 2020-04-14 22:24:18
Ban 49.234.44.48
Found 49.234.44.48 - 2020-04-14 22:24:20
Found 91.225.77.52 - 2020-04-14 22:24:33
Found 91.225.77.52 - 2020-04-14 22:24:35
весь "секс" от озвученного мною способа заключался бы во вводе аж 2х строк в консольке.
ты же, мало того что наставил себе кучу ненужных и дублирующих стандартный функционал сервисов из баш-портянок и демонов, проигнорировал добрые советы (а запас карман не тянет) и расписался тем самым в собственной несостоятельности, так еще и, зачем-то, напоследок поведал мне и другим слушателям множество увлекательнейших историй о своей жизни и о становлении тебя как взрослой личности. понимаю, ты считаешь что это кому-то интересно весьма.. но смею уверить, что лучше бы ты эти сказочки для детишек своих приберег - те хотя бы не скажут тебе в глаза о том, как глупо и сказочно все это звучит со стороны.
> А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются
> пароли к ссш подобрать в локалочке?ufw deny in from 172.16.0.0/12 ssh - вроде бы, так ? ну или to any port 22, если я опять не угадал единственноверный синтаксический сахарок
Ты ведь не собираешься с другого компьютера в локалочке к себе же ssh'ем?
А советчиков с файлобаном гони в шею - это отличный способ самому себе заблокировать доступ - причем абсолютно ни от чего не помогающий.
В том то и проблема, что собираюсь. Иногда приходится к себе залазить. Порт, конечно, давно кастомный стоит и машинка за натом (через форвардинг).А тут глянул - регулярно с разных машин ломятся, причем видно боты, пароли пытаются подобрать.
> Компания Cisco опубликовалаА когда программисты компании Цыско наконец научатся писать правильно сервисы под Unix?
Все "административные" дела по созданию каталогов для логов и pid с нужными правами, всегда должен выполнять инитскрипт, а не сервис. Понимаю, что они типа потом сбрасывают права root но все же из за этого snort нельзя запускать в строго изолированном окружении.
шикарный ui https://github.com/robcowart/synesis_lite_snort