URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 5592
[ Назад ]
Исходное сообщение
"OpenNews: Интересное ПО: snort2c - автоблокирование злоумышленников через pf"
Отправлено opennews , 06-Май-05 10:29 
snort2c (http://people.hazent.com/~adl/snort2c/h_page/), работая в паре с IDS Snort (http://www.snort.org/), анализирует его вывод и блокирует атакующего используя OpenBSD PF.


snort2c основан на snort2pf (ftp://ftp.h07.org/pub/ssc/), но написан на Си.

Основные особенности:
-  модульность;
-  используется kqueue;
-  возможность работы с таблицами PF;
-  PF управляется системными вызовами;
-  возможность работы в фоновом режиме;
-  поддержка "белых" списков;
-  возможность работы с syslog.


URL: http://people.hazent.com/~adl/snort2c/h_page/
Новость: http://www.opennet.ru/opennews/art.shtml?num=5426

Содержание
Сообщения в этом обсуждении
"Интересное ПО: snort2c - автоблокирование злоумышленников через pf"
Отправлено robin zlobin , 06-Май-05 10:29 
а не опасно ли это...
"Интересное ПО: snort2c - автоблокирование злоумышленников через pf"
Отправлено sds , 06-Май-05 11:43 
опасно особено если, как у меня, вся работа идет через инет. Заблокирует нужные сервера -- на выходные - и полезешь в консоль
"Интересное ПО: snort2c - автоблокирование злоумышленников через pf"
Отправлено Finch , 06-Май-05 12:31 
Ну так можно ж время блокировки выставить. Во всяком случае в snort2pf такая опция была.
Выставил блокировку на 5 минут. И особенно не паришься: и тебе хорошо, и серверу хорошо, а злоумышленнику плохо....
"Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Отправлено Аноним , 06-Май-05 15:10 
угу - и тебе вроде как не особо хорошо, да и злыдню не особо плохо.
"Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Отправлено _Ale_ , 06-Май-05 15:11 
Злоумышленник ставит в крон через каждые 5 мин скан твоих портов с подменой обратного ИП - и ему отлично, а тебе - геммор...
имхо - нафиг...
"Злоумышленник в крон 5 мин - а ты раз в день "
Отправлено Банзай , 11-Май-05 01:06 
письмо провайдеру, канальному провайдеру и т.д.

Снимает, как рукой.

"OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
Отправлено uldus , 06-Май-05 15:45 
Можно делать проще. Вешаем на 22 и 23 порт скрипт который заносит в файервол все IP с которых было установлено TCP соединение :-) sshd биндим на другой порт.
"OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
Отправлено _Ale_ , 06-Май-05 15:52 
а зачем скрипт?
pf.conf добавляем строчку, чтоб писал в лог соединения на эти порты...
"OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
Отправлено edwin , 06-Май-05 18:53 
>Вешаем на 22 и 23 порт скрипт
Гораздо проще:
ipfw add 1500 drop log tcp from any to me 22
ipfw add 1501 drop log tcp from any to me 23
И париться не надо.
А до этих правил вешаем разрешающие доступ с доверреных хостов.
"OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
Отправлено _Ale_ , 06-Май-05 21:58 
>ipfw add 1500 drop log tcp from any to me 22
>ipfw add 1501 drop log tcp from any to me 23
вообще-то речь идет о PF
"OpenNews: Интересное ПО: snort2c - автоблокирование злоумышл..."
Отправлено uldus , 07-Май-05 21:48 
>>Вешаем на 22 и 23 порт скрипт
>Гораздо проще:

Вы не поняли, после обращения к этим портам _полностью_ блокируем доступ к открытым публичным сервисам или всей своей сети, если машина шлюз, для этого IP из скрипта.

"Интересное ПО: snort2c - автоблокирование злоумышленников через pf"
Отправлено edwin , 06-Май-05 23:01 
Можно и на pf.
я прсто указал человеку на альтернативу.
"Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Отправлено Горыныч , 07-Май-05 19:05 
Зачем лишние правила в фаерволе ?
host_wrapper уже отменили ? ssh также будет в логи писать попытки соединений с левых ip
"Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Отправлено Горыныч , 07-Май-05 19:06 
Пардон, имел в виду tcp wrapper
"Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Отправлено edwin , 08-Май-05 09:37 
>  Зачем лишние правила в фаерволе ?
Потому как правила регистрируют ЛЮБЫЕ пришедшие пакеты.
И SYN, и FIN и др.
Что очень помогает в выявлении хитрых сканирований.
А твой метод подходит только для выявления полноценных подключений.
ИМХО ... правила firewall'а надежнее
"Интересное ПО: snort2c - автоблокирование злоумышленников через pf"
Отправлено неаноним , 09-Май-05 18:25 
Чем это отличается от Snortsam + IPFilter?
"Интересное ПО: snort2c - автоблокирование злоумышленников через pf"
Отправлено KAA , 11-Май-05 05:39 
а кто нибудь занимался блокированием адресов при получении вирусованного емайла? например в связке postfix + amavis + clamav
"Интересное ПО: snort2c - автоблокирование злоумышленников че..."
Отправлено Cyclone , 11-Май-05 13:57 
ИМХО неправильно это. Потому как заражённые письма вполне могут прити с "правильного" релея. А Вы его файрволлом собрались...