Ga naar inhoud

IDS


anoniem

Aanbevolen berichten

Welke IDS (intrusion detection system) raden jullie mij aan voor mijn iptables firewall? Ik gebruik nu snort alleen die maakt mooie logjes maar ik wil dat ie ook actie onderneemt op portscans... Ik weet dat portsentry dat wel deed, maar de site is weg..(zie www.psionic.com) :cry: What to do? Weten jullie nog goeie IDS die snel actie ondernemen die makkelijk te installeren zijn (rpm :wink: ) M.
Link naar reactie
Ik heb nu Snort mijn ppp0 device monitoren (ADSL) en ism Swatch laat ik /var/log/snort/alert checken..mocht er een portscan komen dan logged Snort het naar deze logfile en laat ik swatch een echo:red geven + een mailtje naar mij toe.. Ik ga portsentry er op zetten om ze ook meteen de portscanners te blocken :D Thanks voor de info allemaal.. M.
Link naar reactie
Welke versie van Portsentry gebruiken jullie btw? En gebruiken jullie de rpm of de source file? Ik gebruik nu de RPM maar portsentry doet niks als ik een nmap scan gebruik (kan het zo zijn dat Snort Portsentry voor is?..Snort reageerd wel namelijk) Hoe ziet jullie portsentry.conf er uit? (welke ip-adressen staan in je ignore file?) M.
Link naar reactie
[quote:2eb95cb16b="MVE"]Welke versie van Portsentry gebruiken jullie btw? En gebruiken jullie de rpm of de source file? Ik gebruik nu de RPM maar portsentry doet niks als ik een nmap scan gebruik (kan het zo zijn dat Snort Portsentry voor is?..Snort reageerd wel namelijk) Hoe ziet jullie portsentry.conf er uit? (welke ip-adressen staan in je ignore file?) M.[/quote:2eb95cb16b] veel vragen allemaal.. ik ken snort niet..maar normaliter binden IDS's aan een set poorten waar ze lekker gaan hangen en zo.totdat ze wat zien..het kan zijn dat Snort ertussen zit en het opvangt.. . betreft portsentry, heb ik de source gepakt.. ik wist niet eens dat er een rpm voor was.. welke versie ik gebruik weet ik niet...volgens mij de nieuwste.. als je meer wil weten over portsentry, kijk eens ff op http://docs.kayjay.net . Ik heb er een howto over geschreven namelijk.
Link naar reactie
[quote:0ddb504ce4="MVE"]Ok..thanks KayJay, maar als ik nu een nmap -sS ÿouw ip"doe krijg jij dan dat Portsentry gaat werken? M.[/quote:0ddb504ce4] als je mijn ip scant , wordt je hier geblocked via /sbin/iptables op alle services, en kom je in /etc/hosts.deny van de tcpd. Vanaf dat moment is mijn systeem voor jou een zwart gat en onzichtbaar op het net voor jouw ip. Ook als je aan poorten zit te frunniken waar je niet aan mag zitten kom je in beiden terecht.
Link naar reactie
je bind portsentry aan een x aantal poorten.. er zijn standaard al 3 mogelijkheden voorgedefinieerd.. wanneer iemand aan deze poorten friemelt kun je in de config van portsentry acties definieren... mogelijkheden zijn het wijzigen van routes, het droppen van het ip via iptables, ipchains , of packetfilters voor bsd/unix. Ook krijg je de mogelijkheid om de tcpd hiervan op dehoogte te brengen..dit staat allemaal in de portsentry.conf. je moet wel een bestand portsentry.modes aanpassen. en hierbinnen hetgeen selecteren wat je aan wil zetten: normal tcp/udp scanning steal tcp/udp scanning of advanced stealth tcp/udp scanning voorbeeld van portsentry.modes : [code:1:2fdaa78219] # These are the startup modes for portsentry. # # Normal TCP/UDP scanning: #tcp #udp # # Steal TCP/UDP scanning: stcp sudp # # Advanced Stealth TCP/UDP scanning: atcp audp [/code:1:2fdaa78219] als je je eigen ip in de portsentry.ignore zet, dan zal hij voor dit ip geen acties ondernemen en ook niet loggen. (loggen gaat overigens via logsentry, voorheen logcheck ) logsentry is een absolute aanrader btw. Binnen je tcpd moet je hetzelfde doen.. portsentry voor zijn dat hij voor bepaalde scans van je zelf deze in hosts.deny zet...daarvoor is hosts.allow voor bedoelt.. waar hij als eerste naar kijkt natuurlijk. zet ook hier die ip's in.
Link naar reactie
He MVE, even een vraagje... Gebruik je naast snort nog meer aanvullende tools dan swatch? Ik bedoel dan acid, php, mysql e.d.. Heb je genoeg aan swatch als aanvulling bij snort? Ik vraag dat omdat ik dit binnenkort snort echt als NIDS (met scans van andere hosts) wil gaan inzetten en een zo simpel mogelijke opzet wil hebben en alleen mail-alerts wil hebben van bepaalde detections.
Link naar reactie
Yes..alleen swatch. Om het op te zetten was piece of cake..ik krijg netjes emailtjes binnen als iemand een portscan doet.. Swatch monitored mijn /var/log/messages en mijn /var/log/snort/alert files..als daar een bepaalde syntax in voor komt zoals : portscan, dan gaat ie een echo red doen en een mailtje naar mij sturen. Guardian moet er voor zorgen dat meteen ook de hosts wordt geblocked die die portscans doen. Guardian laat ik mijn /var/log/snort/alert file checken. Snort vind ik zelf uitgebreider en makkelijker dan Portsentry en kan veel meer loggen..(zoals Nimda troep attack) Als mijn Guardian werkt dan ben ik wel vrij tevreden over mijn security :-) M.
Link naar reactie
Wij gebruiken een Cisco-firewall naar internet... daarop dus geen snort. Ik wil snort voor ons interne net gaan gebruiken. En met name meerdere hosts in de gaten houden. Dan heb ik aan Guardian niet veel. En dat gedoe met php, acid en zo... leuk, maar ik wil accute alerting en niet via html en niet ingewikkeld. Snort met swatch klinkt wel ok.
Link naar reactie
Absoluut..ik vond zelf ACID,PHP,MYSQL,APACHE en SNORt iets te veel van het goeie om te zien wat er fout gaat..swatch is een leightweight app die erg flexibel en easy in gebruik is. Ik heb zelf 2 init scripts gemaakt voor mijn swatchjes..(2 stuks)..het verbaast me hoe makkelje init scripts met webmin kan maken.. :D Suc6 met je snort/swatch opstelling! M.
Link naar reactie

Om een reactie te plaatsen, moet je eerst inloggen

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Herstel opmaak

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...