LINUX.ORG.RU
ФорумAdmin

Системы обнаружения вторжений


0

1

Привет всем!
Такой вопрос.
Есть сервер. В нем 3 интерфейса:
1. eth0 - LAN (юзера из локалки, которые пользубтся интернетом через NAT)
2. eth1 - провайдер 1
3. eth2 - интерфейс, через который по pppoe поднимается ppp0 второго провайдера.

Есть iptables с политикой DROP по всем цепочкам.
Разрешены только определенные адреса и порты.
На этом сервере в мир открыты только 2 сервиса: ssh и openvpn.

Стоит ли использовать какие-либо системы обнаружения вторжений либо ставиить какой-либо софт по обнаружению сканирования портов.

У всех мнения расходятся. Кто говорит, что если стоит фаервол с политикой по умолчанию дроп - то не нужно заморачиваться с такими системами.

Если нужно - то посоветуйте пожалуйста систему.
На данный момент поставил snort...настроил....не не вижу особого смысла пока использования её.

Спасибо!


Ну поставь tripwire еще, если паранойя мучает :)

madgnu ★★★★★ ()

Внимание, обнаружена неуглеродная форма жизни, внимание обнаружена неуглеродная форма жизни, всем членам экипажа срочно покинуть станцию, срочно покинуть станцию.

anonymous ()

я забил. Только это не значит что в ssh или openvpn не может быть уязвимостей. Или в ядре.

Грамотная политика безопасности(и всякие там selinux итп) делают бесполезным взлом многих сервисов т.к. прав не хватит на совершение вредоносных действий. А если бага в ядре серьёзная то какой-нить tripware не поможет.

anonymous ()

fail2ban против брутфорса. Остаются уязвимости целевых сервисов. Но о таких вещах всюду пишут и быстро исправляют, так что я бы забил.

markevichus ★★★ ()

psd + ipset + TARPIT (см. xtables-addons) позволят быстро и сердито спровадить чересчур любопытных.

anonymous ()

> ssh и openvpn.

Засунь их еще в контейнеры (lxc, openvz).

anonymous ()
Ответ на: комментарий от DALDON

openvpn клиент не на всех удаленных системах есть...а путти у меня на флехе.

BusTeR ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.