forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Релиз системы обнаружения атак Snort 2.9.16.0, opennews (??), 13-Апр-20, (0) [смотреть все]

Видимо, хорошая штука, но я её так и не осилил хотя правила где-то использовал , Аноним (1), 22:13 , 13-Апр-20, (1) –1 //

Вам опять же показалось , pin (??), 00:09 , 14-Апр-20, (4)
А для дома эта штука пригодится , Аноним (-), 02:38 , 14-Апр-20, (6) +1 //

Судя по моему опыту с суррикатой, для сохранения нервов, дома лучше не знать нич, Аноним (1), 07:46 , 14-Апр-20, (8) +4

Скрыто модератором, Аноним (-), 22:30 , 13-Апр-20, (2) –3
Интересно, чем анониму, сообщение которого скрыл модератор, suricata не понравил, Аноним (3), 00:04 , 14-Апр-20, (3) +1
Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь мигало, пищало и, Аноним (5), 01:37 , 14-Апр-20, (5) +1 //

Это что за система такая, которую настолько просто взломать, что её нужно в режи, www2 (??), 07:16 , 14-Апр-20, (7) +1 //

Нужна возможность быстро выставлять настройки super high security , как и диало, Аноним84701 (ok), 12:53 , 14-Апр-20, (14)

Есть GUI Называется Cisco Firepower или Cisco FTD Но там тоже нет пищалки для, Andrey (??), 09:19 , 14-Апр-20, (9) //

Вы бл ство с разнообразием-то не путайте Firepower это NG-файрвол с встроенным I, нах. (?), 10:01 , 14-Апр-20, (10) –1 //

Если оно умеет сканы и атаки детектить, то осталось только брать ip из лога и бл, fff (??), 15:50 , 14-Апр-20, (19)

я тебе этот ip и без суперсистемы продиктую, записывай 0 0 0 0 0А если твоя сис, нах. (?), 17:15 , 14-Апр-20, (20) +1
fail2ban уже изобрели , Аноним (21), 17:18 , 14-Апр-20, (21) –1

Вы там в 2200 совсем отупели , васян (?), 09:39 , 15-Апр-20, (29)

логи в эластиксеарч и визуализация на кибане https github com robcowart elasti, suricatamaster (?), 11:17 , 14-Апр-20, (11)
Эта штука не для десктопов Тебе она не понадобится Точно , bobr (?), 02:40 , 15-Апр-20, (27) +1

А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, ко, Урри (?), 12:43 , 14-Апр-20, (12) //

Хватит и авторизации только по ключам Если хочется большего, то fail2ban , Аноним (13), 12:51 , 14-Апр-20, (13) +2 //

Спасибо, гляну , Урри (?), 18:27 , 14-Апр-20, (23) //

Поставил, работает , Урри (?), 18:37 , 14-Апр-20, (24)

не нужно захламлять систему велосипедами, когда как необходимые средства давным-, Валик (?), 19:25 , 14-Апр-20, (25)

Спасибо, мне чтобы работало, а не потрaхаться Времена, когда я возился с тюнинго, Урри (?), 22:32 , 14-Апр-20, (26) +1

весь секс от озвученного мною способа заключался бы во вводе аж 2х строк в кон, Валик (?), 03:33 , 15-Апр-20, (28) –1

ufw deny in from 172 16 0 0 12 ssh - вроде бы, так ну или to any port 22, есл, нах. (?), 14:29 , 14-Апр-20, (18) –2 //

В том то и проблема, что собираюсь Иногда приходится к себе залазить Порт, кон, Урри (?), 18:17 , 14-Апр-20, (22)

А когда программисты компании Цыско наконец научатся писать правильно сервисы по, Аноним (15), 13:45 , 14-Апр-20, (15) –1
шикарный ui https github com robcowart synesis_lite_snort, suricatamaster (?), 14:11 , 14-Апр-20, (16) +1

Сообщения [Сортировка по времени | RSS]

12. "Релиз системы обнаружения атак Snort 2.9.16.0" +/–

Сообщение от Урри (?), 14-Апр-20, 12:43

А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются пароли к ссш подобрать в локалочке? Желательно, что-то простое "поставил и забыл".

Ответить | Правка | Наверх | Cообщить модератору

13. "Релиз системы обнаружения атак Snort 2.9.16.0" +2 +/–

Сообщение от Аноним (13), 14-Апр-20, 12:51

Хватит и авторизации только по ключам. Если хочется большего, то fail2ban.

Ответить | Правка | Наверх | Cообщить модератору

23. "Релиз системы обнаружения атак Snort 2.9.16.0" +/–

Сообщение от Урри (?), 14-Апр-20, 18:27

Спасибо, гляну.

Ответить | Правка | Наверх | Cообщить модератору

24. "Релиз системы обнаружения атак Snort 2.9.16.0" +/–

Сообщение от Урри (?), 14-Апр-20, 18:37

Поставил, работает.

Ответить | Правка | Наверх | Cообщить модератору

25. "Релиз системы обнаружения атак Snort 2.9.16.0" +/–

Сообщение от Валик (?), 14-Апр-20, 19:25

> поставил
не нужно захламлять систему велосипедами, когда как необходимые средства давным-давно встроены прям в ядро:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH_BF --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name SSH_BF --rsource -j DROP
возможно придется подтюнить размер выделяемой области памяти под списки баненых айпи, а то там по умолчанию что-то сотня всего.. делается это через передачу параметра ядру (xt_recent.ip_list_tot=) или соответствующей правкой в /etc/modprobe.d/bla-bla.
так же рекомендуется подстроить сам ssh. хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.
и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...

Ответить | Правка | Наверх | Cообщить модератору

26. "Релиз системы обнаружения атак Snort 2.9.16.0" +1 +/–

Сообщение от Урри (?), 14-Апр-20, 22:32

> возможно придется подтюнить ... делается это через передачу параметра ядру
Спасибо, мне чтобы работало, а не потрaхаться.
Времена, когда я возился с тюнингом ядра прошли, у меня более насущные проблемы.
> хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.
это есть.
> и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...
Спасибо, не надо. Я 20 лет назад этим плотно занимался, когда поддерживал сеть локального интернет провайдера. Больше не хочу.
Если передо мной встанет задача подобного масштаба, я с удовольствием приглашу соответствующего специалиста, а пока мне оказалось полностью достаточно fail2ban, /var/log/fail2ban.log подтверждает.
Found 123.206.90.149 - 2020-04-14 22:24:03
Found 123.206.90.149 - 2020-04-14 22:24:05
Found 49.234.44.48 - 2020-04-14 22:24:18
Ban 49.234.44.48
Found 49.234.44.48 - 2020-04-14 22:24:20
Found 91.225.77.52 - 2020-04-14 22:24:33
Found 91.225.77.52 - 2020-04-14 22:24:35

Ответить | Правка | Наверх | Cообщить модератору

28. "Релиз системы обнаружения атак Snort 2.9.16.0" –1 +/–

Сообщение от Валик (?), 15-Апр-20, 03:33

весь "секс" от озвученного мною способа заключался бы во вводе аж 2х строк в консольке.
ты же, мало того что наставил себе кучу ненужных и дублирующих стандартный функционал сервисов из баш-портянок и демонов, проигнорировал добрые советы (а запас карман не тянет) и расписался тем самым в собственной несостоятельности, так еще и, зачем-то, напоследок поведал мне и другим слушателям множество увлекательнейших историй о своей жизни и о становлении тебя как взрослой личности. понимаю, ты считаешь что это кому-то интересно весьма.. но смею уверить, что лучше бы ты эти сказочки для детишек своих приберег - те хотя бы не скажут тебе в глаза о том, как глупо и сказочно все это звучит со стороны.

Ответить | Правка | Наверх | Cообщить модератору

18. "Релиз системы обнаружения атак Snort 2.9.16.0" –2 +/–

Сообщение от нах. (?), 14-Апр-20, 14:29

> А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются
> пароли к ссш подобрать в локалочке?
ufw deny in from 172.16.0.0/12 ssh - вроде бы, так ? ну или to any port 22, если я опять не угадал единственноверный синтаксический сахарок
Ты ведь не собираешься с другого компьютера в локалочке к себе же ssh'ем?
А советчиков с файлобаном гони в шею - это отличный способ самому себе заблокировать доступ - причем абсолютно ни от чего не помогающий.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

22. "Релиз системы обнаружения атак Snort 2.9.16.0" +/–

Сообщение от Урри (?), 14-Апр-20, 18:17

В том то и проблема, что собираюсь. Иногда приходится к себе залазить. Порт, конечно, давно кастомный стоит и машинка за натом (через форвардинг).
А тут глянул - регулярно с разных машин ломятся, причем видно боты, пароли пытаются подобрать.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

12. "Релиз системы обнаружения атак Snort 2.9.16.0"	+/–
Сообщение от Урри (?), 14-Апр-20, 12:43
А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются пароли к ссш подобрать в локалочке? Желательно, что-то простое "поставил и забыл".
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Релиз системы обнаружения атак Snort 2.9.16.0"	+2 +/–
	Сообщение от Аноним (13), 14-Апр-20, 12:51
	Хватит и авторизации только по ключам. Если хочется большего, то fail2ban.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Релиз системы обнаружения атак Snort 2.9.16.0"	+/–
	Сообщение от Урри (?), 14-Апр-20, 18:27
	Спасибо, гляну.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Релиз системы обнаружения атак Snort 2.9.16.0"	+/–
	Сообщение от Урри (?), 14-Апр-20, 18:37
	Поставил, работает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Релиз системы обнаружения атак Snort 2.9.16.0"	+/–
	Сообщение от Валик (?), 14-Апр-20, 19:25
	> поставил не нужно захламлять систему велосипедами, когда как необходимые средства давным-давно встроены прям в ядро: iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH_BF --rsource iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name SSH_BF --rsource -j DROP возможно придется подтюнить размер выделяемой области памяти под списки баненых айпи, а то там по умолчанию что-то сотня всего.. делается это через передачу параметра ядру (xt_recent.ip_list_tot=) или соответствующей правкой в /etc/modprobe.d/bla-bla. так же рекомендуется подстроить сам ssh. хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить. и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Релиз системы обнаружения атак Snort 2.9.16.0"	+1 +/–
	Сообщение от Урри (?), 14-Апр-20, 22:32
	> возможно придется подтюнить ... делается это через передачу параметра ядру Спасибо, мне чтобы работало, а не потрaхаться. Времена, когда я возился с тюнингом ядра прошли, у меня более насущные проблемы. > хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить. это есть. > и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят... Спасибо, не надо. Я 20 лет назад этим плотно занимался, когда поддерживал сеть локального интернет провайдера. Больше не хочу. Если передо мной встанет задача подобного масштаба, я с удовольствием приглашу соответствующего специалиста, а пока мне оказалось полностью достаточно fail2ban, /var/log/fail2ban.log подтверждает. Found 123.206.90.149 - 2020-04-14 22:24:03 Found 123.206.90.149 - 2020-04-14 22:24:05 Found 49.234.44.48 - 2020-04-14 22:24:18 Ban 49.234.44.48 Found 49.234.44.48 - 2020-04-14 22:24:20 Found 91.225.77.52 - 2020-04-14 22:24:33 Found 91.225.77.52 - 2020-04-14 22:24:35
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Релиз системы обнаружения атак Snort 2.9.16.0"	–1 +/–
	Сообщение от Валик (?), 15-Апр-20, 03:33
	весь "секс" от озвученного мною способа заключался бы во вводе аж 2х строк в консольке. ты же, мало того что наставил себе кучу ненужных и дублирующих стандартный функционал сервисов из баш-портянок и демонов, проигнорировал добрые советы (а запас карман не тянет) и расписался тем самым в собственной несостоятельности, так еще и, зачем-то, напоследок поведал мне и другим слушателям множество увлекательнейших историй о своей жизни и о становлении тебя как взрослой личности. понимаю, ты считаешь что это кому-то интересно весьма.. но смею уверить, что лучше бы ты эти сказочки для детишек своих приберег - те хотя бы не скажут тебе в глаза о том, как глупо и сказочно все это звучит со стороны.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Релиз системы обнаружения атак Snort 2.9.16.0"	–2 +/–
	Сообщение от нах. (?), 14-Апр-20, 14:29
	> А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются > пароли к ссш подобрать в локалочке? ufw deny in from 172.16.0.0/12 ssh - вроде бы, так ? ну или to any port 22, если я опять не угадал единственноверный синтаксический сахарок Ты ведь не собираешься с другого компьютера в локалочке к себе же ssh'ем? А советчиков с файлобаном гони в шею - это отличный способ самому себе заблокировать доступ - причем абсолютно ни от чего не помогающий.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	22. "Релиз системы обнаружения атак Snort 2.9.16.0"	+/–
	Сообщение от Урри (?), 14-Апр-20, 18:17
	В том то и проблема, что собираюсь. Иногда приходится к себе залазить. Порт, конечно, давно кастомный стоит и машинка за натом (через форвардинг). А тут глянул - регулярно с разных машин ломятся, причем видно боты, пароли пытаются подобрать.
	Ответить \| Правка \| Наверх \| Cообщить модератору