Vraag & Antwoord

OS Linux

IDS

Anoniem
None
32 antwoorden
  • hmm dus jullie willen o.a. bij elke scan attack gelijk een mailtje hierover vangen?
  • Yep… en bij mij mogen de poorten niet afgesloten worden. En bij snort kan ik ook mooi aangeven bij welke rules (portscan, dos, enz) er alerts gaan draaien.
  • Ik heb het nu zo werkende:
    als men een portscan doet dan:
    a) wordt dat gelogged door Snort
    b)swatch ziet die logfile aangepast worden met een comment "portscan" -> swatch emailed hier mij over
    c)Guardian ziet dat Snort een alert toevoegd en voert een script uit: route add -host $source gw 127.0.0.1 => byw byw portscanner :-)
    d)voor de zekerheid wordt er een klein logfiletjes weggeschreven welke host nu geblcoked is.

    Mijn eigen ip-adressen staan in de .ignore list zodat die niet gespoofed kunnen worden en dus niet geblocked kunnen worden.

    Heerlijk! :-)

    het werkt perfect!

    M.
  • [quote:5349d29c24="MrLeeJohn"]Yep… en bij mij mogen de poorten niet afgesloten worden. En bij snort kan ik ook mooi aangeven bij welke rules (portscan, dos, enz) er alerts gaan draaien.[/quote:5349d29c24]

    Een beetje server heeft al gauw 40 scan attacks per dag..dus dat is 40 mailtjes van iets wat al geregeld is.. een drop all op een host of het wijzigen van een route.. waarom zou je dat in vredesnaam 40 keer willen zien.. plaats het in 1 mailtje wat 's avonds naar je gestuurd wordt. dan kan je ook nog op normale wijze de rest van de root mail controleren op gaten,hack attempts e.d.

    Als ik alleen al op me werk kijk naar real time monitoring en wat daarin in me e-mail komt per dag.. dat zijn al met al 60 e-mails op een dag.. daar wil ik geen 40 e-mails bij met de melding "ik heb een scan gehad maar dat heb ik al geblokt"
  • Zit wat in KayJay, maar ik zet snort alleen in op ons interne netwerk. Vanuit internet verwacht ik niet veel attacks naar intern, gewoonweg omdat er een PIX-firewall aan hangt en intern nog eens de bordermanager van Novell in een DMZ. Het interne net wil ik bewaken voor interne scans…. we zijn een school met 400 clients en ik wil weten wat er gebeurt. En bij bepaalde attacks grijpen we iemand in de kraag. Dat hoge aantal attacks zou ik wel verwachten als ik servers zou bewaken die relatief simpel bereikbaar zijn vanuit internet. Ook wil ik niet te veel rules activeren omdat dat inderdaad onnodige hits oplevert.

    Zoiets…. dacht ik….

    feedback (a.u.b.)?
  • aha.. dus interne scans.. …
    dus als een leerling een server scant zou ik maar zeggen.. dan grijp jij in..wordt zijn account (bij wijze van ) geblokt en mag hij op het matje komen..

    klinkt op zich leuk
  • Yep… precies…. of een personeelslid :o

    Cisco-IDS vind ik voor dit soort werk erruggg duur! En deze aanpak met snort en swatch is niet zwaar/moeilijk.


    Nog tips waar ik op moet letten?
  • [quote:7fbf161196="KayJay"][quote:7fbf161196="MrLeeJohn"]Yep… en bij mij mogen de poorten niet afgesloten worden. En bij snort kan ik ook mooi aangeven bij welke rules (portscan, dos, enz) er alerts gaan draaien.[/quote:7fbf161196]

    Een beetje server heeft al gauw 40 scan attacks per dag..dus dat is 40 mailtjes van iets wat al geregeld is.. een drop all op een host of het wijzigen van een route.. waarom zou je dat in vredesnaam 40 keer willen zien.. plaats het in 1 mailtje wat 's avonds naar je gestuurd wordt. dan kan je ook nog op normale wijze de rest van de root mail controleren op gaten,hack attempts e.d.

    Als ik alleen al op me werk kijk naar real time monitoring en wat daarin in me e-mail komt per dag.. dat zijn al met al 60 e-mails op een dag.. daar wil ik geen 40 e-mails bij met de melding "ik heb een scan gehad maar dat heb ik al geblokt"[/quote:7fbf161196]

    40 complete portscans?
    Ik niet iig.. :D
    40 mailtjes zijn niet zo boeiend..heb je wel eens monitoring emailtjes gelezen en hoeveel dat er zijn?
    Wat dacht je van klanten die een update uitvoeren met hun software waardoor de service 30-60 minuten offline is..!
    Zonder ons te informeren zijn dat dus zo 120 mailtjes binnen (0:30 minuut)
    Tis vervelend maar wel noodzakelijk…better safe than sorry..en nogmaals ik zie mijn servertje echt geen 40 portscans krijgen per dag..wel 40 of meer gedropte packages van geinfecteerde webservers en ander ongein maar daar houft het gelukkig bij op :-)

    M.
  • [quote:84d759ee0a="MVE"][quote:84d759ee0a="KayJay"][quote:84d759ee0a="MrLeeJohn"]Yep… en bij mij mogen de poorten niet afgesloten worden. En bij snort kan ik ook mooi aangeven bij welke rules (portscan, dos, enz) er alerts gaan draaien.[/quote:84d759ee0a]

    Een beetje server heeft al gauw 40 scan attacks per dag..dus dat is 40 mailtjes van iets wat al geregeld is.. een drop all op een host of het wijzigen van een route.. waarom zou je dat in vredesnaam 40 keer willen zien.. plaats het in 1 mailtje wat 's avonds naar je gestuurd wordt. dan kan je ook nog op normale wijze de rest van de root mail controleren op gaten,hack attempts e.d.

    Als ik alleen al op me werk kijk naar real time monitoring en wat daarin in me e-mail komt per dag.. dat zijn al met al 60 e-mails op een dag.. daar wil ik geen 40 e-mails bij met de melding "ik heb een scan gehad maar dat heb ik al geblokt"[/quote:84d759ee0a]

    40 complete portscans?
    Ik niet iig.. :D
    40 mailtjes zijn niet zo boeiend..heb je wel eens monitoring emailtjes gelezen en hoeveel dat er zijn?
    Wat dacht je van klanten die een update uitvoeren met hun software waardoor de service 30-60 minuten offline is..!
    Zonder ons te informeren zijn dat dus zo 120 mailtjes binnen (0:30 minuut)
    Tis vervelend maar wel noodzakelijk…better safe than sorry..en nogmaals ik zie mijn servertje echt geen 40 portscans krijgen per dag..wel 40 of meer gedropte packages van geinfecteerde webservers en ander ongein maar daar houft het gelukkig bij op :-)

    M.[/quote:84d759ee0a]

    onder een portscan versta ik ook het friemelen aan een poort waar ze niet aan mogen zitten. Een portscan hoeft niet een bassale scan op een range te zijn. Dit kan ook het benaderen van bijvoorbeeld port 21 zijn waar ze niet aan mogen zitten.

    Voor access logs irt nimbda attacks, heb ik overige logs voor. Voor het down gaan voor services ivm upgrades krijg ik dit al realtime via sms. Dus dat hoef ik niet in me mail. Daar is de mon daemon voor. ;)
  • Servers voor op werk ok..voor thuis?
    Nee..geen zin om daar aan te betalen..mon is mooi maar kan je daar ook remote scriptjes mee afvoeren en kan hij ook checks doen op dynamische webcontent zoals asp?
    Daarbij logt snort echt alleen portscans die over een hele reeks poorten gaan en binnen een bepaalde tijd.als iemand aan een verkeerde poort zit te friemelen mag ie dat zo veel doen als ie wilt..die zit toch dicht en de poorten die openstaan vertrouw ik wel..wat is het verschil tussen iemand die zit te 'friemelen' of 50 X een GET request uitvoert door steeds scheel op de refresh button loopt te rammen?
    Straks ga je een persoon blocken die de performance van een site aan het meten is …

    M.
  • Volgens mij zijn jullie het eigenlijk met elkaar eens… en weten jullie dat ook :o :D
  • Ik weet wel dat we het met elkaar eens zijn, maar weet MVE dat ook?
    Er zijn gelukkig meerdere wegen die naar rome lijden..enneh..de situatie die ik net voorschetste, dat is thuis…
    Op het werk is het weer anders: nagios/rancid/smsclient/portsentry/ipchains/logcheck + nog een paar tools.


    over die aantal gets op port 80 kan ik kort zijn: Deze wordt met rust gelaten door portsentry..

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.