[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

RES: Opniao sobre ferrametas de IDS

Bem, eu tenho usado o portsentry aqui.

Preferi configurar ele para escutar apenas em uma porta e redirecionar o 
trafego das portas que eu queria monitorar (23, 137, 8080, ...) para la com 
uma regra de pre-routing no firewall.
(coloquei a porta para a qual eu redireciono no 
/etc/porsentry/porsentry.conf em TCP_PORTS e deixei TCP_MODE="tcp" no 
/etc/default/portsentry)
Ah! Essa porta para qual vc redirecionou as tentativas de ataque precisa 
estar aberta para input no firewall.

Eu fiz isso para evitar que, se por algum motivo o portsentry parar de 
responder, os pacotes nao chegarao ao servico para o qual devia ser. O 
problema e que quando alguem e bloqueado, eu nao sei em qual porta ele 
tentou se conectar (no log aparece como ele tentando conectar na porta para 
a qual eu redirecionei ele), mas paciencia...

Para fazer ele bloquear automaticamente vc so precisa setar a opcao 
BLOCK_TCP="1", descomentar a linha do KILL_ROUTE para o seu sistema (para 
mim, a do iptables em linux) e configurar a tolerancia no parametro 
SCAN_TRIGGERS.


Boa sorte,

 - Samuel



----- Mensagem original -----
De:		Leandro Godoy [SMTP:linux.rs@terra.com.br]
Enviada em:		quarta-feira, 26 de fevereiro de 2003 16:40
Para:		Debian-User
Assunto:		Opniao sobre ferrametas de IDS

Pessoal,
Quero uma opiniao de voces!!
Atualmente utilizo aqui nos servidores (Debian e claro) a dupla
Snort+Guardian, lstat(autidor de arquivos), chkrootkit (verifica
rootkits) e john the ripper(para testar as senhas), alem do firewall e
proxy. No entanto nao estou satisfeito com o Snort+guardian e gostaria
de uma outra solucao:
Snort+Acid nao serve pois nao quero mysql, apache e php no servidor.
Portsentry nao funcionou direito, ou eu nao soube configurar.
Psad e uma solucao interessante, mas precisa do firewall para funcionar.
Qual outra ferramenta de IDS posso por a trabalhar junto com o Snort e
que me gere relatorios e faca bloqueio via regra de firewall ou
host.deny?

Caso opte pelo Portsentry, alguem conhece algum script, ja pronto, que
possa usar para gerar um contra-ataque?

Abracos

--
__________________________________________
Leandro Godoy
Analista de Producao - Projeto AES Sul
Centro de Gerencia
Service IT Solutions
www.service.com.br/marketing
------------------------------------------
Certificado Conectiva Linux
------------------------------------------


--
To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact 
listmaster@lists.debian.org
Reply to: