LINUX.ORG.RU

Защита от атак...


0

0

Вот поставил для защиты от сканирования портов portsentry, но когда я его испробовал он распознает только connect() сканирование, а разнообразные виды Stealth сканирований остаются незамеченными (проверено nmap'ом, хотелось бы иметь лучшую защищенность... Что посоветуете для защиты (обнаружения) от атак (в том числе обнаружение сканирования портов)??? Очень надо! Помогите, плз...


А в курсе ли ты, родимый, что он может запускаться в разных режимах, в т.ч.

portsentry -atcp
portsentry -audp

Читай документацию.

Demetrio ★★★★★
()

> Очень надо!

Хакеры днём и ночью атакуют? :)

Demetrio ★★★★★
()
Ответ на: комментарий от Demetrio

Я так же знаю, что есть файл с игнором, но тогда почему connect() он не игнорирует, а Stealth игнорирует??? Если это действительно так... Скорее всего Stealth он не регистрирует просто напросто, меня ещё не пытались взламывать, я в сети (локальной) 2 недели! Но порты сканировали, и мне говорили, что тут не все люди простые и случаи взлома были!

Dimaz-z
() автор топика
Ответ на: комментарий от Demetrio

Это немножко другой вопрос... При политике INPUT DENY какие порты для каких адресов и каких протоколов надо открывать? У меня на машине сервер apache 1.3 vsftpd mysql для apache, так же пользуюсь эл, почтой :)... Какие порты при этой конфигурации надо открывать? 20, 21, 25, 53, 80, 3306, 110?? Какие ещё, может кто нить привести пример для такой конфигурации?

Dimaz-z
() автор топика
Ответ на: комментарий от Dimaz-z

Вот мой конфиг portsentry:
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12 346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,327 71,32772,32773,32774,31337,54321"
ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"
ADVANCED_EXCLUDE_TCP="113,139,21,20,80,3306,22"
ADVANCED_EXCLUDE_UDP="520,138,137,67"
IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore"
BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked"
HISTORY_FILE="/usr/local/psionic/portsentry/portsentry.history"
RESOLVE_HOST = "0"
BLOCK_UDP="1"
BLOCK_TCP="1"
KILL_ROUTE="/usr/sbin/iptables -I INPUT -s $TARGET$ -j DROP"
KILL_HOSTS_DENY="ALL: $TARGET$"
SCAN_TRIGGER="0"

Dimaz-z
() автор топика
Ответ на: комментарий от anonymous

давай я те кину на мыло, так же отрыл iplog - интересную программку... она тоже достаточно умеет... только ты мыло сажи!

Dimaz-z
() автор топика
Ответ на: комментарий от Dimaz-z

Вопрос - а тебе не пофигу ли, кто что сканирует? Закройся iptables. Можешь туда воткнуть снорт (для особо тяжелых случаев). И не парься - сканирует, не сканирует - результат все равно будет нулевой.

jackill ★★★★★
()
Ответ на: комментарий от anonymous

Тогда какая политика лучше для входящих пакетов ACCEPT или DENY? Если DENY, то какие порты для каких адресов открывать, если я в локальной сети с выходом в инет! ???? Подсажите, плз.......

Dimaz-z
() автор топика
Ответ на: комментарий от Dimaz-z

>давай я те кину на мыло, так же отрыл iplog - интересную программку... >она тоже достаточно умеет... только ты мыло сажи! devnull@rzpost.ru a лучше стукни в 2331222

anonymous
()
Ответ на: комментарий от Kripton

Есть хорошая прога iplog, распознаёт кучу типов сканирования и некоторые атаки. Искать в Гугле.

snigga ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.