Bloquear tentativas excessiva.
Citação:
Postado originalmente por 1c3_m4n
https://under-linux.org/noticia4390.html
O Snort e Guardian ja estão instalados, o Snort gera os logs dele, falta testar o guardian agora, porém minha duvida é na interação Snort+Guardian c/ SSH, pois não vi nenhuma Rule Referente a SSH, que bloqueie tentativas excessivas como a de um brute force por exemplo, e agora não sei como configurar o Snort p/ farejar essas tentativas de acesso, e tmb não sei se o Snort por natureza controla isso ou se é necessario construir uma Rule especifica para controlar o SSH.
Desde Já agraceço a atenção.
Bloquear tentativas excessiva.
Citação:
Postado originalmente por gmlinux
limit (e algumas variações) do iptables talvez atenda.
Eu tentei sem sucesso, mais confesso que devo pesquisar mais a respeito do limit, essa regra pode resolver meu problema c/ as tentativas excessivas? E preciso gerar um script p/ fazer esse controle ou algumas linhas ja resolvem meu problema?
Bloquear tentativas excessiva.
com o limit vc consegue evitar um "flood" no teu server, mas o cara ainda vai ficar "batendo" na porta, se vc quer bloquear esse tipo de coisa, e automaticamente vai ter que ser com o snort+guardian mesmo ;)
Mas veja bem a configuração do guardian, pq ele eh meio "burrao" pode bloquear coisa que nao devia
Bloquear tentativas excessiva.
Citação:
Postado originalmente por EduLucas
Citação:
Postado originalmente por 1c3_m4n
https://under-linux.org/noticia4390.html
O Snort e Guardian ja estão instalados, o Snort gera os logs dele, falta testar o guardian agora, porém minha duvida é na interação Snort+Guardian c/ SSH, pois não vi nenhuma Rule Referente a SSH, que bloqueie tentativas excessivas como a de um brute force por exemplo, e agora não sei como configurar o Snort p/ farejar essas tentativas de acesso, e tmb não sei se o Snort por natureza controla isso ou se é necessario construir uma Rule especifica para controlar o SSH.
Desde Já agraceço a atenção.
o Guardian vai bloquear TUDO que o snort logar como tentativa de invasao, exceto para os ips que vc mandar ele ignorar.
http://www.snort.org/pub-bin/sigs-se...id=brute+force
Bloquear tentativas excessiva.
Citação:
Postado originalmente por 1c3_m4n
Fugindo um pouco da abrangencia desse forum, porem não do assunto, vi no arquivo guardian_block.sh a seguinte regra de iptables /sbin/iptables -I INPUT -s $source -i $interface -j DROP, não sei se minha notação esta correta, mais quando ouver um ataque o guardian vai bloquear qualquer input a partir do momento q o snort logar algum ataque, isso quer dizer q se eu fazer um teste c/ meu servidor de rede, o servidor esta c/ o snort+guardian instalado e configurados; A partir do momento q eu execultar um portscanner nesse servidor q esta c/ a guardian, partindo de outra terminal da rede, esse terminal não terá qquer acesso ao meu servidor, nem ao menos vai conseguir pingar ele?
Desde ja agradeço a atenção.