LINUX.ORG.RU
ФорумAdmin

Посоветуйте сервис для защиты от сканирования???


2

1

Debian 7, fail2ban я конечно поставил для ssh, postfix (работают надежно), dovecot (почему то стандартные фильтры еще ни разу не сработали), а еще есть apache и тыды, но хотелось бы что нибудь сигнализирующее о том, что какой то ип/хост зачем то во все сервисы обращается.
вообще косяк мой, закрыл http наружу, а https забыл (добавлял веб морду для почты и забыл про остальное), так студенты из академ городка мне весь апач перелопатили, впн, ссш, довекот и тыды везде пытались полазить.
так бы сразу на почту получить письмо - такой то адрес вас брутфорсит!

★★★

можешь попробовать ossec

moot ★★★★
()

но хотелось бы что нибудь сигнализирующее о том, что какой то ип/хост зачем то во все сервисы обращается

snort?

Umberto ★☆
()

спасибо за варианты, пока допилил получше fail2ban, добавил проверку других логов и оказывается там тоже есть рассылка на мыло )

wolverin ★★★
() автор топика

на почту получить письмо - такой то адрес вас брутфорсит!

А смысл? Что дальше-то будешь с этим делать?

Самое разумное что можно сделать это поставить автоматизированные средства защиты чтобы банило неугодные хосты (только смотри сам не попадись). А ручной разбор логов это неправильный подход к задаче.

true_admin ★★★★★
()

блокируя такой адрес ты можешь случайно заблокировать целую сеть за NAT

зачем тебе такое?

MikeDM ★★★★★
()
Ответ на: комментарий от true_admin

true_admin

не ручной, а эврестический, т.к. как и антивирусы эти средства защиты не обеспечивают 100% защиты.

MikeDM

это меня совсем не волнует, тем более что бан автоматом снимается через 1-2 часа.

еще было бы интересно чем можно «увидеть», что какой то хост не просто долбится в разные сервисы (это еще можно найти в логах), а тупо сканит открытые порты??? в банках же как то это отслеживают.
решение в лоб через tcpdump + fail2ban не кажется правильным.

wolverin ★★★
() автор топика
Ответ на: комментарий от lnx

lnx

спасибо, наверное мне это подойдет

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

еще было бы интересно чем можно «увидеть», что какой то хост не просто долбится в разные сервисы (это еще можно найти в логах), а тупо сканит открытые порты??? в банках же как то это отслеживают.

Можно на файрволе поставить занесение в лог всего, что режектится и дропается. И потом продвинутый анализатор этих логов.

А вообще это называется Intrusion detection system.

dn2010 ★★★★★
()
Ответ на: комментарий от wolverin

Моё личное мнение: фуфло это всё, если ты только не банк.

Тупо не держи дырявых сервисов, регулярно обновляйся и настрой нормально. Этого достаточно. Мастурбация на каждый пинг не увеличивает защиту. Как и обмазка тачки всякой хренью типа snort в котором самом находили кучу дыр.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

true_admin

в том же, в чем и в антивирусах - нестандартное поведение, пример, смотрю я логи довекота и там множество вариантов не отслеживающиеся стандартными регекспами
fail2ban к примеру наружу не смотрит, какие дыры в нем могут возникнуть?
к тому же защита на уровне фаервола снижает нагрузку на сервак и на канал. У меня через этот шлюз даже телефония идет, а не просто банально пару сайтов висит.

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

нестандартное поведение, пример, смотрю я логи довекота и там множество вариантов не отслеживающиеся стандартными регекспами

Я не понимаю о чём ты.

какие дыры в нем могут возникнуть?

http://www.cvedetails.com/vulnerability-list/vendor_id-5567/Fail2ban.html

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

и где там дыры, которые он открыл??? если не понимаете смысла, то к чему вообще весь этот спор? я только по postfix вижу результаты, не говоря уже обо всем остальном.

wolverin ★★★
() автор топика
Ответ на: комментарий от true_admin

Самое разумное что можно сделать это поставить автоматизированные средства защиты чтобы банило неугодные хосты (только смотри сам не попадись). А ручной разбор логов это неправильный подход к задаче.

ftp можно вообще запретить, ssh повесить на порт $RANDOM. А остальное толку брутить? Вебморду для почты можно отключить, после настройки. А лучше вообще настраивать как нормальные люди.

emulek
()
Ответ на: комментарий от true_admin

Моё личное мнение: фуфло это всё, если ты только не банк.

Тупо не держи дырявых сервисов, регулярно обновляйся и настрой нормально. Этого достаточно. Мастурбация на каждый пинг не увеличивает защиту. Как и обмазка тачки всякой хренью типа snort в котором самом находили кучу дыр.

в целом согласен. Скорее — мастурбации уменьшают защиту.

emulek
()
Ответ на: комментарий от wolverin

в том же, в чем и в антивирусах - нестандартное поведение, пример, смотрю я логи довекота и там множество вариантов не отслеживающиеся стандартными регекспами

нестандартное поведение отслеживать с помощью стандартной программы на регулярках вроде fail2bun? Делим на ноль?

emulek
()
Ответ на: комментарий от emulek

таких как вы поди что больше - написать вопросы, ответы на которые неделю назад в теме написаны, разбавив это несусветным бредом.

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

написать вопросы, ответы на которые неделю назад в теме написаны

какие «вопросы»? Какое «неделю назад»? Ты тему в четверг создал.

И какие к тебе вопросы, если ты сам задаёшь унылые вопросы, которые подымались такими как ты уже Over9000 раз?

разбавив это несусветным бредом.

потом поймёшь. Лет через 10.

emulek
()
Ответ на: комментарий от emulek

какие «вопросы»?
нестандартное поведение отслеживать с помощью стандартной программы на регулярках вроде fail2bun? Делим на ноль?
множество вариантов не отслеживающиеся стандартными регекспами

кто здесь???

потом поймёшь. Лет через 10.

аа, гуру решил помериться. звиняйте, у меня короче.

wolverin ★★★
() автор топика
Ответ на: комментарий от emulek

ты сам задаёшь унылые вопросы

в данном случае вопросы не тебе, люди подсказали варианты, я все проанализирую, твое мнение про настройку почты через веб морду школоте объясняй.

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

в данном случае вопросы не тебе, люди подсказали варианты, я все проанализирую, твое мнение про настройку почты через веб морду школоте объясняй.

ок, ок. Я действительно некомпетентен в настройке почты через вебморду для школоты.

emulek
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.