LINUX.ORG.RU
ФорумDevelopment

динамически изменяемый брандмауер и слежение за коннектом


0

0

Вот затеял сотворить прогу с функциями подобными оутпост фиревол (агниум) под винды. Задача - резать банеры и прочую рекламу, следить за тем, кто куда лезет изнутри и снаружи.
Полагаю реализовать на перле примерно так - следить за выводом tcpdump сверяясь с базой разрешенных адресов (для того чтоб следить кто куда) и управлять правилами для iptables.
Может кто что более дельное предложит???
Или может кто знает, вдруг я лисапед изобретаю, тоды где взять.

anonymous
Работа с Com портом.
Question 

>Или может кто знает, вдруг я лисапед изобретаю, тоды где взять.

Лисапед-лисапед ;)

ищи 

portsentry 
hostsentry 
snort

sS ★★★★★
()
Ответ на: комментарий от sS

HostSentry
В основном защита построена по интеллектуальной схеме. Например, обращает внимание на нетипичное время и место регистрации, странное поведение пользователя, запуск нестандартных команд (например, обычный пользователь, ранее пользовавшийся только vi, вдруг начинает компилировать код, изменять свое окружение и т.д.).
Инструмент обнаружения вторжения в систему. Контроль учетных записей и необычного поведения системы в целом. Включает в себя динамическую базу данных. Фактически изучает поведение процесса входа в систему любого пользователя.

Snort
Snort - это достаточно простой анализатор пакетов. Отлично подходит в качестве несложного IDS'а. Базу уязвимостей можно посмотреть в файле backdoor-lib и web-lib, есть возможность добавить свои баги.


Portsentry:
обнаруживает практически все известные виды сканирования Unix-машин: TCP connect(), SYN/half-open, Null, XMAS и т.д.
в реальном времени блокирует хост сканировщика посредством установленного на атакуемом компьютере firewall'а (для Linux 2.2.x - ipchains), команду запуска которого можно задать в файле конфигурации.
записывает в логи посредством syslogd информацию об атаке.
вызывает любую указанную тобой в файле конфигурации программу, в ответ на сканирование или подключение к защищенному portsentry порту, параметрами программы могут являтся IP-адрес атакующего хоста и атакуемый порт.
Локальный компьютер автоматически перенастраивается, чтобы направлять весь трафик от атакующего на несуществующий компьютер.
Локальный компьютер автоматически перенастраивается, чтобы блокировать все пакеты от атакующего пакетным фильтром.


Вообщем пожалуй некоторые функции Portsentry можно использовать. Остальные две проги чейто мне не приглянулись. Изменилась и общая задумка, потому даже часть интересных возможностей Portsentry просче наверно самому написать. там видно будет.

не совсем вялосипед оказался. то что есть слишком тяжело для конечного пользователя.
ну может что и выйдет накропать.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Работа с Com портом.
Development
Question