| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Grayman
Зарегистрирован: 25.10.2004
Сообщения: 145
|
 Добавлено: Пн Авг 08 2005 09:09 Заголовок сообщения: Отслеживание сканирования портов и попыток атак |
 |
|
Стоит задача реализовать систему отслеживания попыток удаленных атак и сканирования портов. RH9 (2.4.20) + iptables + logwatch
Вопрос: как организовать логирование в iptables? что регистрировать? Общие советы, теория, по реализации разберусь сам. |
|
| Вернуться к началу |
|
 |
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Пн Авг 08 2005 15:51 Заголовок сообщения: |
|
|
сначала проведи аудит безопасности - lsof (открытые файлы на машине) и nessus (автом.сканер слабых мест защиты в системе), а потом защиту строй.
_________________
All is not lost!  |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Пн Авг 08 2005 16:05 Заголовок сообщения: |
|
|
И еще немного, сели можно...просматривай форум...
and3008
Зарегистрирован: 12.10.2001
Сообщения: 11423
Откуда: Н.Новгород
Добавлено: Пн Авг 08 2005 00:00 Заголовок сообщения:
Есть книжка. Называется "Брандамауэры в Linux". Книжка старая, но если на слове ipchains зажмуриваться и говорить про себя iptables, то книжка супер полезная. Дает много начальных знаний. После усвоения материала становится довольно пофигу для чего писать правила прохождения трафика. Хоть для IOS (Cisco), хоть для OpenBSD.
ipfw - для ядер 2.0
Начиная с 2.4 настоятельно рекомендуется использовать iptables.
Для более тонкого управления трафиком есть iproute2. Для ее использования настроятельно рекомендуется использовать ядро 2.6
Есть дока. Advanced Routing HowTo. Есть русский перевод.
Только не спрашивайте меня дать ссылку. Ее можно найти самостоятельно на любом поисковом сервере за 1-2 минуты.
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Авг 08 2005 21:58 Заголовок сообщения: |
|
|
iptables - это только пакетный фильтр.
А следилка за атаками - это IDS (Intrusion Detection System).
Можно купить комерческую систему. Например от Инфосистемы Jet, CheckPoint, Cisco. А можно использовать и бесплатную систему. Например Snort. По ряду показателей она даст фору комерческим системам. |
|
| Вернуться к началу |
|
|
Grayman
Зарегистрирован: 25.10.2004
Сообщения: 145
|
| Добавлено: Вт Авг 09 2005 08:33 Заголовок сообщения: |
|
|
Спасибо за советы.
Г-м, как все серьезно ... Я имел ввиду немного другое.
Я прекрасно понимаю, что iptables это средство защиты а не мониторинга, но логи он все же умеет вести. Вот на основе их и логвотча хочу сделать смотрелку которая просто бы присылала отчетики с утра по почте, кто, чего, откуда и зачем...
Но вот как это сделать ... тю, видимо не хватает мне знаний по сетевым протоколам, верхов нахватался, а основ ... |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вт Авг 09 2005 20:02 Заголовок сообщения: |
|
|
Сделал я ведение лога. Мониторит VPN-соединения.
За неделю набегает 1 Гиг логов. Как-то эта... По почте не очень пролезает.
На www.iptables.org есть софт и доки как включить лог и писать их в MySQL. Ну уж а смотрелку пиши на чем хошь. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
