RES: Opniao sobre ferrametas de IDS
Bem, eu tenho usado o portsentry aqui.
Preferi configurar ele para escutar apenas em uma porta e redirecionar o
trafego das portas que eu queria monitorar (23, 137, 8080, ...) para la com
uma regra de pre-routing no firewall.
(coloquei a porta para a qual eu redireciono no
/etc/porsentry/porsentry.conf em TCP_PORTS e deixei TCP_MODE="tcp" no
/etc/default/portsentry)
Ah! Essa porta para qual vc redirecionou as tentativas de ataque precisa
estar aberta para input no firewall.
Eu fiz isso para evitar que, se por algum motivo o portsentry parar de
responder, os pacotes nao chegarao ao servico para o qual devia ser. O
problema e que quando alguem e bloqueado, eu nao sei em qual porta ele
tentou se conectar (no log aparece como ele tentando conectar na porta para
a qual eu redirecionei ele), mas paciencia...
Para fazer ele bloquear automaticamente vc so precisa setar a opcao
BLOCK_TCP="1", descomentar a linha do KILL_ROUTE para o seu sistema (para
mim, a do iptables em linux) e configurar a tolerancia no parametro
SCAN_TRIGGERS.
Boa sorte,
- Samuel
----- Mensagem original -----
De: Leandro Godoy [SMTP:linux.rs@terra.com.br]
Enviada em: quarta-feira, 26 de fevereiro de 2003 16:40
Para: Debian-User
Assunto: Opniao sobre ferrametas de IDS
Pessoal,
Quero uma opiniao de voces!!
Atualmente utilizo aqui nos servidores (Debian e claro) a dupla
Snort+Guardian, lstat(autidor de arquivos), chkrootkit (verifica
rootkits) e john the ripper(para testar as senhas), alem do firewall e
proxy. No entanto nao estou satisfeito com o Snort+guardian e gostaria
de uma outra solucao:
Snort+Acid nao serve pois nao quero mysql, apache e php no servidor.
Portsentry nao funcionou direito, ou eu nao soube configurar.
Psad e uma solucao interessante, mas precisa do firewall para funcionar.
Qual outra ferramenta de IDS posso por a trabalhar junto com o Snort e
que me gere relatorios e faca bloqueio via regra de firewall ou
host.deny?
Caso opte pelo Portsentry, alguem conhece algum script, ja pronto, que
possa usar para gerar um contra-ataque?
Abracos
--
__________________________________________
Leandro Godoy
Analista de Producao - Projeto AES Sul
Centro de Gerencia
Service IT Solutions
www.service.com.br/marketing
------------------------------------------
Certificado Conectiva Linux
------------------------------------------
--
To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Reply to: