Versão Imprimível
Estou tento alguns problemas c/ o snort, e depois da sua instalação surgiram algumas duvidas.
1 - Todo "ataque" é logado em tempo real ou demora algum tempo?
2 - Comparando c/ os logs gerados pelo meu fire (iptables), noto q o snort não loga todos os ataques, isso é normal?
3 - qual a diferença entre HOME_NET e EXTERNAL_NET e qual delas o snort fareja?
Desde ja agradeço a atenção.
bom o snort responde em tempo real
se o firewall ta logando algo que o snort nao ta pegando ajuste as regras e sensores no snort .
home_net e sua rede interna external_net a internet
qual delas monitorar ?
bom isso depende de vc e da sua rede
[]'s
Respostas:
1) Ele gera em tempo real.
2) Perai, pq você acha que não loga todos os ataques? Será que você não está confundido a simples tentativa de entrada em determinada porta com um ataque?
3) Digamos que em HOME_NET vai ser as faixas de IP que o Snort deve "ignorar" como atacantes, e EXTERNAL é que ele deve considerar como atacantes.
Falo? :P
Valeu pela luz.Citação:
Postado originalmente por DropALL
Minha duvida agora é saber se meu snort esta ok, pois ele gera algo em torno de 3 a 4 logs por dia, ele esta na internet c/ um ip válido e tenho um fire baseado em iptables q entre alguma regras dropa INPUT, procurei somente manter a porta 22 p/ acesso SSH, e segundo alguns portscanners somente ela esta aberta. Mais ainda sou iniciante q esta meio perdido, mais faço o possivel pra aprender, e a ajuda desse forum eh fundamental.
Desde ja agradeço a atenção.
Colega,
Por você(como você mesmo disse) ser iniciante não sugiro deixar a SSH aberta, já que implica em muito na sua segurança. Mas se você for precisar MESMO, faça algumas mudanças no SSHD do seu servidor, como:
1) Mudar a porta de resposta do SSH, inves de 22, mude para alguma porta alta aleatoria (essa já evita 95% dos force brutes, e se fizerem scan de portas teu snort loga antes e bloqueia caso vc tenha o guardian configurado direitinho)...
2) Configure no seu iptables, para que permita entrada nessa porta, apenas as faixas 200.0.0.0/8 e 201.0.0.0/8 que são faixas dentro do Brasil, se você não loga do japão nao precisa ter outras faixas...
3) Configure para que o "root" não possa logar direto.
4) Crie um usuario para que ele sim possa logar via ssh e então entrar como root (allowusers e su), com nome de login aleatorio, e senha forte (minusculas, maiusculas, numeros, caracteres especiais e acima de 10 digitos)
Com mais paranoia pode-se:
1) Incrementar a segurança do seu servidor com sistemas tipo Tripwire, AIDE ou até mesmo LIDS....
2) E criar jaulas chroot para casos especificos :P
3) Enviar e-mails para você a cada login bem ou mal sucedido no seu servidor
Casos ainda mais extremos de paranoia:
1) Discagem para seu celular com mensagem telefonica de aviso de login em tempo real(não é mensagem sms, é discado mesmo) :P
:(6)
ehehhe
Caracas o cara aki em cima fez uma viagem animal
BEM VINDO AO MUNDO DA MATRIX :P :good:
Após receber tentativas diárias de ataques à porta 22 vindo principalmente de fora do Brasil, resolvi liberá-la apenas para os IPs citados acima
Durante aproximadamente um mês recebi umas 3 ou 4 tentativas de ataque vindas de 200 ~ 201 na qual rastreei e envie e-mail para o ABUSE do respectivo domínio.
Acontece que hoje houve uma tentativa vinda de 216.231.36.198.
Alguém tem alguma explicação?
Agradeço antecipadamente a ajuda.
Abraços,
Bruno Frizo
Ola,
Realmente existem varios scanners de ssh rodando por ai. Recentemente vivenciei um caso real de um cliente que instalou uma maquina fedora core 2, configurou o firewall e dexiou ssh aberto. A senha do root era "123456". Em 24 horas a maquina estava comprometida.
Eu deixo ssh aberto, da seguinte forma:
- bloqueio login do root
- troco a porta do ssh (afinal vc saberá qual é a porta)
- desabilitou autenticacao por senha, deixo apenas por chave publica/privada.
Desta forma, vc está relativamente seguro.
Voce pode fazer isso editando o /etc/ssh/sshd_config
Antonio Brandao
Citação:
Postado originalmente por Frizo
Nem ligo, mantenho na mesma porta, autenticação por chave, somente dois usuários permitidos, um roda uma aplicação específica (garanto na chave a execução somente dela) o outro, para poder administrar, usuário com privilégio de tornar-se root.
O tempo para se descobrir em qual porta esta rodando não é muito alto...
Usar o snort/guardian para bloquear ip pode permitir um DOS...
O lance é que os worms que fazem scan automático da rede não ficam testando várias portas a procua do ssh. Se for uma pessoa (humano) então é facil mesmo descobrir.
Vc tem razao em relacao a fazer bloqueio automatico... é suicídio, pode gerar DOS.
Como vc faz para permitir que usuário X somente executa a aplicação Y? Eu costumo deixar o cara logar e depois no sudo especificar quais aplicacoes ele executa como root.
Citação:
Postado originalmente por gmlinux
Olha aqui:
http://www.hmug.org/man/8/sshd.php
na parte "AUTHORIZED_KEYS FILE FORMAT"
po... só fera :clap:
:help: não são tão feras assim não, o problema consiste na grande quantidade de leigos. a maioria e apenas curioso. tchauCitação:
Postado originalmente por gargwlas