Grafico do firewall

[bruno_forum]

Bom dia gente!

To com um probleminha aqui na empresa...que é o seguinte:

O gerente da empresa me pedio um grafico ( aqueles feito em excell sabe ) de todas as tentativas de invasao ao nosso servidor...eu venho analisando diariamente o log do firewall e acredito que qto o meu qto o de vc6 as tentativa de invasao sao imensas...entao gostaria de perguntar a voces se vc6 tem uma ideia do que posso fazer?!!

Comecei a traça um grafico da coluna SCP que seria o invasor, da hora da tentativa e do destino ( DTS ) que seria nosso servidor..mas logo pela manha teve 400 tentativa....imaginem um grafico com 400 pigmentos diferentes....sem chance né??

Me ajudem no que for possivel..

AGradeço. e Aguardo

[1c3m4n]

divida os tipos de "tentativas de invasão" de acordo com o que foi atacado, por ex

200 pro apache
150 ssh
10 mysql
etc,etc

[mistymst]

tente tirar os falsos positivos para isso, se eu for parar olhar quantas vezes tenta conectar em portas que nao podem eu jah tinha ficado doido, é mais negocio ficar ligado no IDS que ainda assim da falso alarme. Tente filtrar o que foi so um portscan ou uma tentativa de invasao mesmo. por exemplo alguem que conectou uma unica vez em uma porta conhecida em um servidor q nao deveria é muito complicado ser tentativa de invasao, dependendo de como for. ou ta so "fazendo um sweep" para encontrar uma versao com bug nao patcheado... entao fica mto relativo, tenta filtrar o q vc vai passar pro seu chefe senao voce so vai fazer isso da vida.