Vraag & Antwoord

OS Linux

IDS

32 antwoorden
  • Welke IDS (intrusion detection system) raden jullie mij aan voor mijn iptables firewall? Ik gebruik nu snort alleen die maakt mooie logjes maar ik wil dat ie ook actie onderneemt op portscans... Ik weet dat portsentry dat wel deed, maar de site is weg..(zie www.psionic.com) :cry: What to do? Weten jullie nog goeie IDS die snel actie ondernemen die makkelijk te installeren zijn (rpm :wink: ) M.
  • tja... ik ben een voorstander van portsentry inderdaad... in combinatie met logcheck heb je op 2nd tier een sterke troef in handen. kan snort geen acties ondernemen?
  • volgens mij wel..er is zoveel zooi voor..ik wil graag email alerting hebben.. M.
  • Site heeft een nieuwe naam: http://www.portsentry.com
  • Voor lokale IDS is portsentry fantastisch. Er zijn vele alternatieven. Het enige waar ik nog naar kijk is snort als ik een NIDS wil ipv een (H)IDS; dus als ik meer hosts wil beveiligen.
  • Ik heb nu Snort mijn ppp0 device monitoren (ADSL) en ism Swatch laat ik /var/log/snort/alert checken..mocht er een portscan komen dan logged Snort het naar deze logfile en laat ik swatch een echo:red geven + een mailtje naar mij toe.. Ik ga portsentry er op zetten om ze ook meteen de portscanners te blocken :D Thanks voor de info allemaal.. M.
  • Welke versie van Portsentry gebruiken jullie btw? En gebruiken jullie de rpm of de source file? Ik gebruik nu de RPM maar portsentry doet niks als ik een nmap scan gebruik (kan het zo zijn dat Snort Portsentry voor is?..Snort reageerd wel namelijk) Hoe ziet jullie portsentry.conf er uit? (welke ip-adressen staan in je ignore file?) M.
  • [quote:2eb95cb16b="MVE"]Welke versie van Portsentry gebruiken jullie btw? En gebruiken jullie de rpm of de source file? Ik gebruik nu de RPM maar portsentry doet niks als ik een nmap scan gebruik (kan het zo zijn dat Snort Portsentry voor is?..Snort reageerd wel namelijk) Hoe ziet jullie portsentry.conf er uit? (welke ip-adressen staan in je ignore file?) M.[/quote:2eb95cb16b] veel vragen allemaal.. ik ken snort niet..maar normaliter binden IDS's aan een set poorten waar ze lekker gaan hangen en zo.totdat ze wat zien..het kan zijn dat Snort ertussen zit en het opvangt.. . betreft portsentry, heb ik de source gepakt.. ik wist niet eens dat er een rpm voor was.. welke versie ik gebruik weet ik niet...volgens mij de nieuwste.. als je meer wil weten over portsentry, kijk eens ff op http://docs.kayjay.net . Ik heb er een howto over geschreven namelijk.
  • Ok..thanks KayJay, maar als ik nu een nmap -sS ÿouw ip"doe krijg jij dan dat Portsentry gaat werken? M.
  • [quote:0ddb504ce4="MVE"]Ok..thanks KayJay, maar als ik nu een nmap -sS ÿouw ip"doe krijg jij dan dat Portsentry gaat werken? M.[/quote:0ddb504ce4] als je mijn ip scant , wordt je hier geblocked via /sbin/iptables op alle services, en kom je in /etc/hosts.deny van de tcpd. Vanaf dat moment is mijn systeem voor jou een zwart gat en onzichtbaar op het net voor jouw ip. Ook als je aan poorten zit te frunniken waar je niet aan mag zitten kom je in beiden terecht.
  • Dat doe je dan toch via een progje? Dat doet dus portsentry voor je? Ik zie portscan dus niks doen..:-( Ik wil dat ie device ppp0 (adsl) scanned alleen dat kan je nergens opgeven in Portsentry 1.. DAt is dus het irritante..Portsentry doet bij mij niks :cry: Ik heb jouw config op jouw site overgenomen..maar geen geluk..:-( M.
  • je bind portsentry aan een x aantal poorten.. er zijn standaard al 3 mogelijkheden voorgedefinieerd.. wanneer iemand aan deze poorten friemelt kun je in de config van portsentry acties definieren... mogelijkheden zijn het wijzigen van routes, het droppen van het ip via iptables, ipchains , of packetfilters voor bsd/unix. Ook krijg je de mogelijkheid om de tcpd hiervan op dehoogte te brengen..dit staat allemaal in de portsentry.conf. je moet wel een bestand portsentry.modes aanpassen. en hierbinnen hetgeen selecteren wat je aan wil zetten: normal tcp/udp scanning steal tcp/udp scanning of advanced stealth tcp/udp scanning voorbeeld van portsentry.modes : [code:1:2fdaa78219] # These are the startup modes for portsentry. # # Normal TCP/UDP scanning: #tcp #udp # # Steal TCP/UDP scanning: stcp sudp # # Advanced Stealth TCP/UDP scanning: atcp audp [/code:1:2fdaa78219] als je je eigen ip in de portsentry.ignore zet, dan zal hij voor dit ip geen acties ondernemen en ook niet loggen. (loggen gaat overigens via logsentry, voorheen logcheck ) logsentry is een absolute aanrader btw. Binnen je tcpd moet je hetzelfde doen.. portsentry voor zijn dat hij voor bepaalde scans van je zelf deze in hosts.deny zet...daarvoor is hosts.allow voor bedoelt.. waar hij als eerste naar kijkt natuurlijk. zet ook hier die ip's in.
  • Dat heb ik allemaal gedaan..maar niks werkt :-( Ik heb Guardian voor Snort genomen..die gebruikt de Snort alert file..dus dat is wel cool..die blocked wel automagisch.. M.
  • He MVE, even een vraagje... Gebruik je naast snort nog meer aanvullende tools dan swatch? Ik bedoel dan acid, php, mysql e.d.. Heb je genoeg aan swatch als aanvulling bij snort? Ik vraag dat omdat ik dit binnenkort snort echt als NIDS (met scans van andere hosts) wil gaan inzetten en een zo simpel mogelijke opzet wil hebben en alleen mail-alerts wil hebben van bepaalde detections.
  • Yes..alleen swatch. Om het op te zetten was piece of cake..ik krijg netjes emailtjes binnen als iemand een portscan doet.. Swatch monitored mijn /var/log/messages en mijn /var/log/snort/alert files..als daar een bepaalde syntax in voor komt zoals : portscan, dan gaat ie een echo red doen en een mailtje naar mij sturen. Guardian moet er voor zorgen dat meteen ook de hosts wordt geblocked die die portscans doen. Guardian laat ik mijn /var/log/snort/alert file checken. Snort vind ik zelf uitgebreider en makkelijker dan Portsentry en kan veel meer loggen..(zoals Nimda troep attack) Als mijn Guardian werkt dan ben ik wel vrij tevreden over mijn security :-) M.
  • Klinkt precies wat ik wil. En zelfs guardian wil ik niet...
  • Guardian wil je niet? Ik vind hem wel handig om portscanners te blocken..maar swatch is supercool en werkt perfect..ik moet er alleen een init script van maken zodat de swatch scriptjes automagisch opstart. M.
  • Wij gebruiken een Cisco-firewall naar internet... daarop dus geen snort. Ik wil snort voor ons interne net gaan gebruiken. En met name meerdere hosts in de gaten houden. Dan heb ik aan Guardian niet veel. En dat gedoe met php, acid en zo... leuk, maar ik wil accute alerting en niet via html en niet ingewikkeld. Snort met swatch klinkt wel ok.
  • Absoluut..ik vond zelf ACID,PHP,MYSQL,APACHE en SNORt iets te veel van het goeie om te zien wat er fout gaat..swatch is een leightweight app die erg flexibel en easy in gebruik is. Ik heb zelf 2 init scripts gemaakt voor mijn swatchjes..(2 stuks)..het verbaast me hoe makkelje init scripts met webmin kan maken.. :D Suc6 met je snort/swatch opstelling! M.
  • Wat bedoel je met een init-script? Een script dat bij het opstarten/initialiseren uitgevoerd wordt? Kan toch ook in rc.local?

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.