Защита от атак...

0

0

Вот поставил для защиты от сканирования портов portsentry, но когда я его испробовал он распознает только connect() сканирование, а разнообразные виды Stealth сканирований остаются незамеченными (проверено nmap'ом, хотелось бы иметь лучшую защищенность... Что посоветуете для защиты (обнаружения) от атак (в том числе обнаружение сканирования портов)??? Очень надо! Помогите, плз...

Ссылка

←	переименование файлов

корзина на рабочем столе

→

А в курсе ли ты, родимый, что он может запускаться в разных режимах, в т.ч.

portsentry -atcp
portsentry -audp

Читай документацию.

Demetrio ★★★★★
(26.08.04 19:31:32 MSD)

Ответ на: комментарий от Demetrio 26.08.04 19:31:32 MSD

Я в курсе, и запускал я его во всех режимах, не помогло!

Dimaz-z ★
(26.08.04 19:33:33 MSD) автор топика

> Очень надо!

Хакеры днём и ночью атакуют? :)

Demetrio ★★★★★
(26.08.04 19:34:00 MSD)

Ссылка

Ответ на: комментарий от Dimaz-z 26.08.04 19:33:33 MSD

Сканирования с локалхоста он игнорирует.

Demetrio ★★★★★
(26.08.04 19:34:39 MSD)

Ответ на: комментарий от Demetrio 26.08.04 19:34:39 MSD

Я так же знаю, что есть файл с игнором, но тогда почему connect() он не игнорирует, а Stealth игнорирует??? Если это действительно так... Скорее всего Stealth он не регистрирует просто напросто, меня ещё не пытались взламывать, я в сети (локальной) 2 недели! Но порты сканировали, и мне говорили, что тут не все люди простые и случаи взлома были!

Dimaz-z ★
(26.08.04 19:39:26 MSD) автор топика

Ответ на: комментарий от Dimaz-z 26.08.04 19:39:26 MSD

так кто нить может посоветьвать альтернативу, или способ устранения проблем?

Dimaz-z ★
(26.08.04 19:42:21 MSD) автор топика

Ответ на: комментарий от Dimaz-z 26.08.04 19:42:21 MSD

файрвол настрой

Demetrio ★★★★★
(26.08.04 19:46:07 MSD)

Ответ на: комментарий от Demetrio 26.08.04 19:46:07 MSD

Это немножко другой вопрос... При политике INPUT DENY какие порты для каких адресов и каких протоколов надо открывать? У меня на машине сервер apache 1.3 vsftpd mysql для apache, так же пользуюсь эл, почтой :)... Какие порты при этой конфигурации надо открывать? 20, 21, 25, 53, 80, 3306, 110?? Какие ещё, может кто нить привести пример для такой конфигурации?

Dimaz-z ★
(26.08.04 19:52:40 MSD) автор топика

Ответ на: комментарий от Dimaz-z 26.08.04 19:52:40 MSD

Вот мой конфиг portsentry:
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12 346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,327 71,32772,32773,32774,31337,54321"
ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"
ADVANCED_EXCLUDE_TCP="113,139,21,20,80,3306,22"
ADVANCED_EXCLUDE_UDP="520,138,137,67"
IGNORE_FILE="/usr/local/psionic/portsentry/portsentry.ignore"
BLOCKED_FILE="/usr/local/psionic/portsentry/portsentry.blocked"
HISTORY_FILE="/usr/local/psionic/portsentry/portsentry.history"
RESOLVE_HOST = "0"
BLOCK_UDP="1"
BLOCK_TCP="1"
KILL_ROUTE="/usr/sbin/iptables -I INPUT -s $TARGET$ -j DROP"
KILL_HOSTS_DENY="ALL: $TARGET$"
SCAN_TRIGGER="0"

Dimaz-z ★
(26.08.04 21:11:55 MSD) автор топика

Ответ на: комментарий от Dimaz-z 26.08.04 21:11:55 MSD

я прошу прощения что влезая в разговор , но не кинет мне ктонить ссылку где слить PortSentry v2.0b1 , только на сайт http://www.psionic.com/products/portsentry.html непосылайте там мёртвые ссылки и ничё нету

anonymous
(26.08.04 23:10:49 MSD)

Ответ на: комментарий от anonymous 26.08.04 23:10:49 MSD

давай я те кину на мыло, так же отрыл iplog - интересную программку... она тоже достаточно умеет... только ты мыло сажи!

Dimaz-z ★
(26.08.04 23:20:53 MSD) автор топика

Ссылка

Ответ на: комментарий от Dimaz-z 26.08.04 19:52:40 MSD

Вопрос - а тебе не пофигу ли, кто что сканирует? Закройся iptables. Можешь туда воткнуть снорт (для особо тяжелых случаев). И не парься - сканирует, не сканирует - результат все равно будет нулевой.

jackill ★★★★★
(26.08.04 23:32:09 MSD)

Ссылка

Ответ на: комментарий от Dimaz-z 26.08.04 19:52:40 MSD

firehol.sf.net

anonymous
(26.08.04 23:35:18 MSD)

Ответ на: комментарий от anonymous 26.08.04 23:35:18 MSD

Тогда какая политика лучше для входящих пакетов ACCEPT или DENY? Если DENY, то какие порты для каких адресов открывать, если я в локальной сети с выходом в инет! ???? Подсажите, плз.......

Dimaz-z ★
(26.08.04 23:39:58 MSD) автор топика

Ответ на: комментарий от Dimaz-z 26.08.04 23:39:58 MSD

1. Естественно - DROP.

2. http://firehol.sourceforge.net/services.html

anonymous
(26.08.04 23:44:07 MSD)

Ответ на: комментарий от anonymous 26.08.04 23:44:07 MSD

Ладно, буду доки читать :)

Dimaz-z ★
(26.08.04 23:50:59 MSD) автор топика

Ответ на: комментарий от Dimaz-z 26.08.04 23:50:59 MSD

>давай я те кину на мыло, так же отрыл iplog - интересную программку... >она тоже достаточно умеет... только ты мыло сажи! devnull@rzpost.ru a лучше стукни в 2331222

anonymous
(27.08.04 11:34:44 MSD)