Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Citação Postado originalmente por 1c3_m4n
    https://under-linux.org/noticia4390.html
    O Snort e Guardian ja estão instalados, o Snort gera os logs dele, falta testar o guardian agora, porém minha duvida é na interação Snort+Guardian c/ SSH, pois não vi nenhuma Rule Referente a SSH, que bloqueie tentativas excessivas como a de um brute force por exemplo, e agora não sei como configurar o Snort p/ farejar essas tentativas de acesso, e tmb não sei se o Snort por natureza controla isso ou se é necessario construir uma Rule especifica para controlar o SSH.

    Desde Já agraceço a atenção.

  2. Citação Postado originalmente por gmlinux
    limit (e algumas variações) do iptables talvez atenda.
    Eu tentei sem sucesso, mais confesso que devo pesquisar mais a respeito do limit, essa regra pode resolver meu problema c/ as tentativas excessivas? E preciso gerar um script p/ fazer esse controle ou algumas linhas ja resolvem meu problema?



  3. com o limit vc consegue evitar um "flood" no teu server, mas o cara ainda vai ficar "batendo" na porta, se vc quer bloquear esse tipo de coisa, e automaticamente vai ter que ser com o snort+guardian mesmo
    Mas veja bem a configuração do guardian, pq ele eh meio "burrao" pode bloquear coisa que nao devia

  4. Citação Postado originalmente por EduLucas
    Citação Postado originalmente por 1c3_m4n
    https://under-linux.org/noticia4390.html
    O Snort e Guardian ja estão instalados, o Snort gera os logs dele, falta testar o guardian agora, porém minha duvida é na interação Snort+Guardian c/ SSH, pois não vi nenhuma Rule Referente a SSH, que bloqueie tentativas excessivas como a de um brute force por exemplo, e agora não sei como configurar o Snort p/ farejar essas tentativas de acesso, e tmb não sei se o Snort por natureza controla isso ou se é necessario construir uma Rule especifica para controlar o SSH.

    Desde Já agraceço a atenção.
    o Guardian vai bloquear TUDO que o snort logar como tentativa de invasao, exceto para os ips que vc mandar ele ignorar.

    http://www.snort.org/pub-bin/sigs-se...id=brute+force



  5. Citação Postado originalmente por 1c3_m4n
    o Guardian vai bloquear TUDO que o snort logar como tentativa de invasao, exceto para os ips que vc mandar ele ignorar.

    http://www.snort.org/pub-bin/sigs-se...id=brute+force
    Fugindo um pouco da abrangencia desse forum, porem não do assunto, vi no arquivo guardian_block.sh a seguinte regra de iptables /sbin/iptables -I INPUT -s $source -i $interface -j DROP, não sei se minha notação esta correta, mais quando ouver um ataque o guardian vai bloquear qualquer input a partir do momento q o snort logar algum ataque, isso quer dizer q se eu fazer um teste c/ meu servidor de rede, o servidor esta c/ o snort+guardian instalado e configurados; A partir do momento q eu execultar um portscanner nesse servidor q esta c/ a guardian, partindo de outra terminal da rede, esse terminal não terá qquer acesso ao meu servidor, nem ao menos vai conseguir pingar ele?

    Desde ja agradeço a atenção.






Tópicos Similares

  1. Bloquear tentativa de invasão no MK
    Por leonardovff no fórum Redes
    Respostas: 14
    Último Post: 31-10-2012, 23:35
  2. Tentativa de invasão ???/ Como agir ??
    Por adcorp no fórum Segurança
    Respostas: 10
    Último Post: 06-12-2002, 08:50
  3. Tentativa de Logon
    Por mcsbws no fórum Segurança
    Respostas: 3
    Último Post: 23-08-2002, 04:57
  4. Bloquear e-mail
    Por bauer no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-07-2002, 10:01
  5. Bloquear sites no squid - urgente
    Por bauer no fórum Servidores de Rede
    Respostas: 1
    Último Post: 21-05-2002, 22:53

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L