forum.opennet.ru - "Релиз системы обнаружения атак Snort 2.9.16.0" (28)

"Релиз системы обнаружения атак Snort 2.9.16.0"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Релиз системы обнаружения атак Snort 2.9.16.0"	+/–
Сообщение от opennews (??), 13-Апр-20, 22:13
Компания Cisco опубликовала релиз Snort 2.9.16.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52729
Ответить \| Правка \| Cообщить модератору

Оглавление

Видимо, хорошая штука, но я её так и не осилил хотя правила где-то использовал , Аноним (1), 22:13 , 13-Апр-20, (1) –1

Вам опять же показалось , pin (??), 00:09 , 14-Апр-20, (4)
А для дома эта штука пригодится , Аноним (-), 02:38 , 14-Апр-20, (6) +1

Судя по моему опыту с суррикатой, для сохранения нервов, дома лучше не знать нич, Аноним (1), 07:46 , 14-Апр-20, (8) +4

Скрыто модератором, Аноним (-), 22:30 , 13-Апр-20, (2) –3
Интересно, чем анониму, сообщение которого скрыл модератор, suricata не понравил, Аноним (3), 00:04 , 14-Апр-20, (3) +1
Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь мигало, пищало и, Аноним (5), 01:37 , 14-Апр-20, (5) +1

Это что за система такая, которую настолько просто взломать, что её нужно в режи, www2 (??), 07:16 , 14-Апр-20, (7) +1

Нужна возможность быстро выставлять настройки super high security , как и диало, Аноним84701 (ok), 12:53 , 14-Апр-20, (14)

Есть GUI Называется Cisco Firepower или Cisco FTD Но там тоже нет пищалки для, Andrey (??), 09:19 , 14-Апр-20, (9)

Вы бл ство с разнообразием-то не путайте Firepower это NG-файрвол с встроенным I, нах. (?), 10:01 , 14-Апр-20, (10) –1

Если оно умеет сканы и атаки детектить, то осталось только брать ip из лога и бл, fff (??), 15:50 , 14-Апр-20, (19)

я тебе этот ip и без суперсистемы продиктую, записывай 0 0 0 0 0А если твоя сис, нах. (?), 17:15 , 14-Апр-20, (20) +1
fail2ban уже изобрели , Аноним (21), 17:18 , 14-Апр-20, (21) –1

Вы там в 2200 совсем отупели , васян (?), 09:39 , 15-Апр-20, (29)

логи в эластиксеарч и визуализация на кибане https github com robcowart elasti, suricatamaster (?), 11:17 , 14-Апр-20, (11)
Эта штука не для десктопов Тебе она не понадобится Точно , bobr (?), 02:40 , 15-Апр-20, (27) +1

А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, ко, Урри (?), 12:43 , 14-Апр-20, (12)

Хватит и авторизации только по ключам Если хочется большего, то fail2ban , Аноним (13), 12:51 , 14-Апр-20, (13) +2

Спасибо, гляну , Урри (?), 18:27 , 14-Апр-20, (23)

Поставил, работает , Урри (?), 18:37 , 14-Апр-20, (24)

не нужно захламлять систему велосипедами, когда как необходимые средства давным-, Валик (?), 19:25 , 14-Апр-20, (25)

Спасибо, мне чтобы работало, а не потрaхаться Времена, когда я возился с тюнинго, Урри (?), 22:32 , 14-Апр-20, (26) +1

весь секс от озвученного мною способа заключался бы во вводе аж 2х строк в кон, Валик (?), 03:33 , 15-Апр-20, (28) –1

ufw deny in from 172 16 0 0 12 ssh - вроде бы, так ну или to any port 22, есл, нах. (?), 14:29 , 14-Апр-20, (18) –2

В том то и проблема, что собираюсь Иногда приходится к себе залазить Порт, кон, Урри (?), 18:17 , 14-Апр-20, (22)

А когда программисты компании Цыско наконец научатся писать правильно сервисы по, Аноним (15), 13:45 , 14-Апр-20, (15) –1
шикарный ui https github com robcowart synesis_lite_snort, suricatamaster (?), 14:11 , 14-Апр-20, (16) +1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 13-Апр-20, 22:13 –1 +/–

Видимо, хорошая штука, но я её так и не осилил (хотя правила где-то использовал). Surricata как-то более дружелюбна в конфигурации показалась. И у snort проблемы с производительностью.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #6

2. Сообщение от Аноним (-), 13-Апр-20, 22:30 –3 +/–

Очередной, индусо бэкдор, который защищает от индусского софта? Прекрасная /б/езопасность.

Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 14-Апр-20, 00:04 +1 +/–

Интересно, чем анониму, сообщение которого скрыл модератор, suricata не понравилась?

Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от pin (??), 14-Апр-20, 00:09 +/–

> И у snort проблемы с производительностью.
Вам опять же показалось.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

5. Сообщение от Аноним (5), 14-Апр-20, 01:37 +1 +/–

Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что ты должен постоянно смотреть в логи, а если вдруг расслабился и решил отвлечься на часок, то по возвращении обнаружишь, что уже нет ни логов, ни системы?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #9, #11, #27

6. Сообщение от Аноним (-), 14-Апр-20, 02:38 +1 +/–

А для дома эта штука пригодится?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8

7. Сообщение от www2 (??), 14-Апр-20, 07:16 +1 +/–

Это что за система такая, которую настолько просто взломать, что её нужно в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если увидишь предупреждение? Успеешь сетевой шнурок выдернуть? А если она постоянно будет сыпать сообщениями о попытках сканирования, об обнаруженных сигнатурах атак и т.п., то ты так и будешь постоянно сетевой шнурок дpочить?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #14

8. Сообщение от Аноним (1), 14-Апр-20, 07:46 +4 +/–

Судя по моему опыту с суррикатой, для сохранения нервов, дома лучше не знать ничего из замечаемого ею. Есть и false-positive, конечно. Но не только. -_-

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от Andrey (??), 14-Апр-20, 09:19 +/–

> Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь
> мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что
> ты должен постоянно смотреть в логи, а если вдруг расслабился и
> решил отвлечься на часок, то по возвращении обнаружишь, что уже нет
> ни логов, ни системы?
Есть GUI. Называется Cisco Firepower или Cisco FTD. Но там тоже нет "пищалки для трея".
Это комплексная защита периметра, а не десктопное приложение для админов localhost.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #10

10. Сообщение от нах. (?), 14-Апр-20, 10:01 –1 +/–

Вы бл@ство с разнообразием-то не путайте.
Firepower это NG-файрвол с встроенным IPS, а не полубесполезная IDS, как снорты с сурикатами. И суть его не в уепп-интерфейсе, а что он умеет САМ решать, когда пора вмешаться в траффик. В худшем случае по возвращении обнаружишь, что очередной настроенный макакой дырявый линукс отключен от сети до выяснения.
И его логи не надо читать в трее, их читают по факту письма дорогого пользователя "ой, а чо-та-чо-та у меня работать перестало" - обычно вслух, под равномерный свист плети г-на экзекутора, вырывающей из его жопы очередной кусок шкуры. Потому как ложные срабатывания у правильно настроенного редки.
А что в 2k20 делать с голой IDS, кроме как чтения ее логов налету - действительно, совершенно непонятно. Пользы от нее только то, что циска на админах локалхоста тренирует паттерны, но и тут засада - паттерны-то что получше она норовит продавать, а не раздавать.
Ну чо вы хотите от софта конца 90х? Вы бы еще outpost firewall тех лохматых готов вспомнили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #19, #29

11. Сообщение от suricatamaster (?), 14-Апр-20, 11:17 +/–

логи в эластиксеарч и визуализация на кибане https://github.com/robcowart/elastiflow

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

12. Сообщение от Урри (?), 14-Апр-20, 12:43 +/–

А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются пароли к ссш подобрать в локалочке? Желательно, что-то простое "поставил и забыл".

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #18

13. Сообщение от Аноним (13), 14-Апр-20, 12:51 +2 +/–

Хватит и авторизации только по ключам. Если хочется большего, то fail2ban.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23

14. Сообщение от Аноним84701 (ok), 14-Апр-20, 12:53 +/–

> Это что за система такая, которую настолько просто взломать, что её нужно
> в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если
> увидишь предупреждение? Успеешь сетевой шнурок выдернуть?
Нужна возможность быстро выставлять настройки "super high security", как и диалог с большой, красной кнопкой, одним нажатием которой останавливаешь весь сетевой трафик!
Ну и не щелкать клювом!
http://db0smg.de/software/ftp/windows/internet/zonealarm/hel...
http://db0smg.de/software/ftp/windows/internet/zonealarm/hel...
Если что, есть оригинал, умевший все это давным-давно
*копается в цифровой мусор^W кладовке*

-rw-r-----  1 Аноним  Аноним   1,7M 27 дек.   2000 /home/аноним/old/d/old/f/oldc/old c/D temp/TOOLS/ZONEAL~1/ZONALARM.EXE

а не эти ваши новомодные смузи-каты!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

15. Сообщение от Аноним (15), 14-Апр-20, 13:45 –1 +/–

> Компания Cisco опубликовала
А когда программисты компании Цыско наконец научатся писать правильно сервисы под Unix?
Все "административные" дела по созданию каталогов для логов и pid с нужными правами, всегда должен выполнять инитскрипт, а не сервис. Понимаю, что они типа потом сбрасывают права root но все же из за этого snort нельзя запускать в строго изолированном окружении.

Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от suricatamaster (?), 14-Апр-20, 14:11 +1 +/–

шикарный ui https://github.com/robcowart/synesis_lite_snort

Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от нах. (?), 14-Апр-20, 14:29 –2 +/–

> А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются
> пароли к ссш подобрать в локалочке?
ufw deny in from 172.16.0.0/12 ssh  - вроде бы, так ? ну или to any port 22, если я опять не угадал единственноверный синтаксический сахарок
Ты ведь не собираешься с другого компьютера в локалочке к себе же ssh'ем?
А советчиков с файлобаном гони в шею - это отличный способ самому себе заблокировать доступ - причем абсолютно ни от чего не помогающий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #22

19. Сообщение от fff (??), 14-Апр-20, 15:50 +/–

Если оно умеет сканы и атаки детектить, то осталось только брать ip из лога и блочить, не?
Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит денег.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #20, #21

20. Сообщение от нах. (?), 14-Апр-20, 17:15 +1 +/–

я тебе этот ip и без суперсистемы продиктую, записывай: 0.0.0.0/0
А если твоя система работает для каких-то там людей, и в их наличии ты каким-то образом заинтересован (неважно, for fun, или тебе зарплату платят) - то обломись бабка, мы на корабле.
> Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит
> денег.
внезапно, не только это. Хорошие системы ips стоят оооочень хороших денег еще и отдельно от подписок. Иногда базовая подписка вообще к ним бесплатна, приложением к плате за обслуживание. И вот оно-то оказывается нужно.
139.208.0.0/13, конечно, можешь без всякого снорта заблочить. Или не можешь, если у тебя есть клиенты в Китае.
А остальной мой свежий урожай за вчера вот так выглядит:
    4   208  dynamicip-37-113-188-76.pppoe.chel.ertelecom.ru
    8   512  212.46.18.0/24
    2   104  host-91-105-184-125.bbcustomer.zsttk.net
    3   156  net-31-132-211-144.king-online.ru
   97  4928  ip.178-69-40-160.avangarddsl.ru
    2   104  pppoe.178-65-167-56.dynamic.avangarddsl.ru
    5   256  46.164.243.125
  345 20700  46.164.192.0/18
    6   312  128-75-131-47.broadband.corbina.ru
    6   304  95-55-37-53.dynamic.avangarddsl.ru
вот это - по сумме параметров, точно не люди (а если люди - то плохие п-сы). Но адреса эти блокировать не просто бесполезно, а откровенно вредно. Как только ты его заблокируешь, он дернет свой adsl, и к тебе придет с другого адреса, а этот достанется, вполне возможно, как раз твоему пользователю. Наоборот - с ним надо дружить, сессию обязательно устанавливать, принимать по одному байту в час, не забывая про keepalive, чтоб он не свалил, другим гадить.
Поэтому - только IPS. Рвущий конкретную сессию, а не блочащий идиотски адрес. И не дающий мусору вообще дойти до адресата в большинстве случаев, а не вмешивающийся постфактум, когда уже и незачем.
При этом у него таки есть интерфейс и мониторинг, но показывают они при правильном подходе совсем другое - ситуацию, когда на тебя идет прицельная атака, и надо искать казачков засланных, или пароли менять.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

21. Сообщение от Аноним (21), 14-Апр-20, 17:18 –1 +/–

fail2ban уже "изобрели"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от Урри (?), 14-Апр-20, 18:17 +/–

В том то и проблема, что собираюсь. Иногда приходится к себе залазить. Порт, конечно, давно кастомный стоит и машинка за натом (через форвардинг).
А тут глянул - регулярно с разных машин ломятся, причем видно боты, пароли пытаются подобрать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

23. Сообщение от Урри (?), 14-Апр-20, 18:27 +/–

Спасибо, гляну.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #24

24. Сообщение от Урри (?), 14-Апр-20, 18:37 +/–

Поставил, работает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #25

25. Сообщение от Валик (?), 14-Апр-20, 19:25 +/–

> поставил
не нужно захламлять систему велосипедами, когда как необходимые средства давным-давно встроены прям в ядро:
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH_BF --rsource
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name SSH_BF --rsource -j DROP
возможно придется подтюнить размер выделяемой области памяти под списки баненых айпи, а то там по умолчанию что-то сотня всего.. делается это через передачу параметра ядру (xt_recent.ip_list_tot=) или соответствующей правкой в /etc/modprobe.d/bla-bla.
так же рекомендуется подстроить сам ssh. хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.
и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #26

26. Сообщение от Урри (?), 14-Апр-20, 22:32 +1 +/–

> возможно придется подтюнить ... делается это через передачу параметра ядру
Спасибо, мне чтобы работало, а не потрaхаться.
Времена, когда я возился с тюнингом ядра прошли, у меня более насущные проблемы.
> хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить.
это есть.
> и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...
Спасибо, не надо. Я 20 лет назад этим плотно занимался, когда поддерживал сеть локального интернет провайдера. Больше не хочу.
Если передо мной встанет задача подобного масштаба, я с удовольствием приглашу соответствующего специалиста, а пока мне оказалось полностью достаточно fail2ban, /var/log/fail2ban.log подтверждает.
Found 123.206.90.149 - 2020-04-14 22:24:03
Found 123.206.90.149 - 2020-04-14 22:24:05
Found 49.234.44.48 - 2020-04-14 22:24:18
Ban 49.234.44.48
Found 49.234.44.48 - 2020-04-14 22:24:20
Found 91.225.77.52 - 2020-04-14 22:24:33
Found 91.225.77.52 - 2020-04-14 22:24:35

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #28

27. Сообщение от bobr (?), 15-Апр-20, 02:40 +1 +/–

Эта штука не для десктопов. Тебе она не понадобится. Точно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

28. Сообщение от Валик (?), 15-Апр-20, 03:33 –1 +/–

весь "секс" от озвученного мною способа заключался бы во вводе аж 2х строк в консольке.
ты же, мало того что наставил себе кучу ненужных и дублирующих стандартный функционал сервисов из баш-портянок и демонов, проигнорировал добрые советы (а запас карман не тянет) и расписался тем самым в собственной несостоятельности, так еще и, зачем-то, напоследок поведал мне и другим слушателям множество увлекательнейших историй о своей жизни и о становлении тебя как взрослой личности. понимаю, ты считаешь что это кому-то интересно весьма.. но смею уверить, что лучше бы ты эти сказочки для детишек своих приберег - те хотя бы не скажут тебе в глаза о том, как глупо и сказочно все это звучит со стороны.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

29. Сообщение от васян (?), 15-Апр-20, 09:39 +/–

> А что в 2k20 делать
Вы там в 2200 совсем отупели?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 13-Апр-20, 22:13	–1 +/–
Видимо, хорошая штука, но я её так и не осилил (хотя правила где-то использовал). Surricata как-то более дружелюбна в конфигурации показалась. И у snort проблемы с производительностью.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #6

2. Сообщение от Аноним (-), 13-Апр-20, 22:30	–3 +/–
Очередной, индусо бэкдор, который защищает от индусского софта? Прекрасная /б/езопасность.
Ответить \| Правка \| Наверх \| Cообщить модератору

3. Сообщение от Аноним (3), 14-Апр-20, 00:04	+1 +/–
Интересно, чем анониму, сообщение которого скрыл модератор, suricata не понравилась?
Ответить \| Правка \| Наверх \| Cообщить модератору

4. Сообщение от pin (??), 14-Апр-20, 00:09	+/–
> И у snort проблемы с производительностью. Вам опять же показалось.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

5. Сообщение от Аноним (5), 14-Апр-20, 01:37	+1 +/–
Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что ты должен постоянно смотреть в логи, а если вдруг расслабился и решил отвлечься на часок, то по возвращении обнаружишь, что уже нет ни логов, ни системы?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7, #9, #11, #27

6. Сообщение от Аноним (-), 14-Апр-20, 02:38	+1 +/–
А для дома эта штука пригодится?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #8

7. Сообщение от www2 (??), 14-Апр-20, 07:16	+1 +/–
Это что за система такая, которую настолько просто взломать, что её нужно в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если увидишь предупреждение? Успеешь сетевой шнурок выдернуть? А если она постоянно будет сыпать сообщениями о попытках сканирования, об обнаруженных сигнатурах атак и т.п., то ты так и будешь постоянно сетевой шнурок дpочить?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #14

8. Сообщение от Аноним (1), 14-Апр-20, 07:46	+4 +/–
Судя по моему опыту с суррикатой, для сохранения нервов, дома лучше не знать ничего из замечаемого ею. Есть и false-positive, конечно. Но не только. -_-
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

9. Сообщение от Andrey (??), 14-Апр-20, 09:19	+/–
> Есть ли к нему гуй, чтобы в реальном времени в трее чего-нибудь > мигало, пищало и оповещало "тебя хакают"? Или расчет на то, что > ты должен постоянно смотреть в логи, а если вдруг расслабился и > решил отвлечься на часок, то по возвращении обнаружишь, что уже нет > ни логов, ни системы? Есть GUI. Называется Cisco Firepower или Cisco FTD. Но там тоже нет "пищалки для трея". Это комплексная защита периметра, а не десктопное приложение для админов localhost.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #10

10. Сообщение от нах. (?), 14-Апр-20, 10:01	–1 +/–
Вы бл@ство с разнообразием-то не путайте. Firepower это NG-файрвол с встроенным IPS, а не полубесполезная IDS, как снорты с сурикатами. И суть его не в уепп-интерфейсе, а что он умеет САМ решать, когда пора вмешаться в траффик. В худшем случае по возвращении обнаружишь, что очередной настроенный макакой дырявый линукс отключен от сети до выяснения. И его логи не надо читать в трее, их читают по факту письма дорогого пользователя "ой, а чо-та-чо-та у меня работать перестало" - обычно вслух, под равномерный свист плети г-на экзекутора, вырывающей из его жопы очередной кусок шкуры. Потому как ложные срабатывания у правильно настроенного редки. А что в 2k20 делать с голой IDS, кроме как чтения ее логов налету - действительно, совершенно непонятно. Пользы от нее только то, что циска на админах локалхоста тренирует паттерны, но и тут засада - паттерны-то что получше она норовит продавать, а не раздавать. Ну чо вы хотите от софта конца 90х? Вы бы еще outpost firewall тех лохматых готов вспомнили.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #19, #29

11. Сообщение от suricatamaster (?), 14-Апр-20, 11:17	+/–
логи в эластиксеарч и визуализация на кибане https://github.com/robcowart/elastiflow
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

12. Сообщение от Урри (?), 14-Апр-20, 12:43	+/–
А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются пароли к ссш подобрать в локалочке? Желательно, что-то простое "поставил и забыл".
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13, #18

13. Сообщение от Аноним (13), 14-Апр-20, 12:51	+2 +/–
Хватит и авторизации только по ключам. Если хочется большего, то fail2ban.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #23

14. Сообщение от Аноним84701 (ok), 14-Апр-20, 12:53	+/–
> Это что за система такая, которую настолько просто взломать, что её нужно > в режиме реального времени настолько оберегать? Что ты успеешь предпринять, если > увидишь предупреждение? Успеешь сетевой шнурок выдернуть? Нужна возможность быстро выставлять настройки "super high security", как и диалог с большой, красной кнопкой, одним нажатием которой останавливаешь весь сетевой трафик! Ну и не щелкать клювом! http://db0smg.de/software/ftp/windows/internet/zonealarm/hel... http://db0smg.de/software/ftp/windows/internet/zonealarm/hel... Если что, есть оригинал, умевший все это давным-давно копается в цифровой мусор^W кладовке -rw-r----- 1 Аноним Аноним 1,7M 27 дек. 2000 /home/аноним/old/d/old/f/oldc/old c/D temp/TOOLS/ZONEAL~1/ZONALARM.EXE а не эти ваши новомодные смузи-каты!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

15. Сообщение от Аноним (15), 14-Апр-20, 13:45	–1 +/–
> Компания Cisco опубликовала А когда программисты компании Цыско наконец научатся писать правильно сервисы под Unix? Все "административные" дела по созданию каталогов для логов и pid с нужными правами, всегда должен выполнять инитскрипт, а не сервис. Понимаю, что они типа потом сбрасывают права root но все же из за этого snort нельзя запускать в строго изолированном окружении.
Ответить \| Правка \| Наверх \| Cообщить модератору

16. Сообщение от suricatamaster (?), 14-Апр-20, 14:11	+1 +/–
шикарный ui https://github.com/robcowart/synesis_lite_snort
Ответить \| Правка \| Наверх \| Cообщить модератору

18. Сообщение от нах. (?), 14-Апр-20, 14:29	–2 +/–
> А порекомендуйте, анонимы, что-нибудь для базовой защиты от мамкиных хакиров, которые пытаются > пароли к ссш подобрать в локалочке? ufw deny in from 172.16.0.0/12 ssh - вроде бы, так ? ну или to any port 22, если я опять не угадал единственноверный синтаксический сахарок Ты ведь не собираешься с другого компьютера в локалочке к себе же ssh'ем? А советчиков с файлобаном гони в шею - это отличный способ самому себе заблокировать доступ - причем абсолютно ни от чего не помогающий.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #22

19. Сообщение от fff (??), 14-Апр-20, 15:50	+/–
Если оно умеет сканы и атаки детектить, то осталось только брать ip из лога и блочить, не? Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит денег.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #20, #21

20. Сообщение от нах. (?), 14-Апр-20, 17:15	+1 +/–
я тебе этот ip и без суперсистемы продиктую, записывай: 0.0.0.0/0 А если твоя система работает для каких-то там людей, и в их наличии ты каким-то образом заинтересован (неважно, for fun, или тебе зарплату платят) - то обломись бабка, мы на корабле. > Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит > денег. внезапно, не только это. Хорошие системы ips стоят оооочень хороших денег еще и отдельно от подписок. Иногда базовая подписка вообще к ним бесплатна, приложением к плате за обслуживание. И вот оно-то оказывается нужно. 139.208.0.0/13, конечно, можешь без всякого снорта заблочить. Или не можешь, если у тебя есть клиенты в Китае. А остальной мой свежий урожай за вчера вот так выглядит: 4 208 dynamicip-37-113-188-76.pppoe.chel.ertelecom.ru 8 512 212.46.18.0/24 2 104 host-91-105-184-125.bbcustomer.zsttk.net 3 156 net-31-132-211-144.king-online.ru 97 4928 ip.178-69-40-160.avangarddsl.ru 2 104 pppoe.178-65-167-56.dynamic.avangarddsl.ru 5 256 46.164.243.125 345 20700 46.164.192.0/18 6 312 128-75-131-47.broadband.corbina.ru 6 304 95-55-37-53.dynamic.avangarddsl.ru вот это - по сумме параметров, точно не люди (а если люди - то плохие п-сы). Но адреса эти блокировать не просто бесполезно, а откровенно вредно. Как только ты его заблокируешь, он дернет свой adsl, и к тебе придет с другого адреса, а этот достанется, вполне возможно, как раз твоему пользователю. Наоборот - с ним надо дружить, сессию обязательно устанавливать, принимать по одному байту в час, не забывая про keepalive, чтоб он не свалил, другим гадить. Поэтому - только IPS. Рвущий конкретную сессию, а не блочащий идиотски адрес. И не дающий мусору вообще дойти до адресата в большинстве случаев, а не вмешивающийся постфактум, когда уже и незачем. При этом у него таки есть интерфейс и мониторинг, но показывают они при правильном подходе совсем другое - ситуацию, когда на тебя идет прицельная атака, и надо искать казачков засланных, или пароли менять.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

21. Сообщение от Аноним (21), 14-Апр-20, 17:18	–1 +/–
fail2ban уже "изобрели"
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

22. Сообщение от Урри (?), 14-Апр-20, 18:17	+/–
В том то и проблема, что собираюсь. Иногда приходится к себе залазить. Порт, конечно, давно кастомный стоит и машинка за натом (через форвардинг). А тут глянул - регулярно с разных машин ломятся, причем видно боты, пароли пытаются подобрать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

23. Сообщение от Урри (?), 14-Апр-20, 18:27	+/–
Спасибо, гляну.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #24

24. Сообщение от Урри (?), 14-Апр-20, 18:37	+/–
Поставил, работает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #25

25. Сообщение от Валик (?), 14-Апр-20, 19:25	+/–
> поставил не нужно захламлять систему велосипедами, когда как необходимые средства давным-давно встроены прям в ядро: iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH_BF --rsource iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name SSH_BF --rsource -j DROP возможно придется подтюнить размер выделяемой области памяти под списки баненых айпи, а то там по умолчанию что-то сотня всего.. делается это через передачу параметра ядру (xt_recent.ip_list_tot=) или соответствующей правкой в /etc/modprobe.d/bla-bla. так же рекомендуется подстроить сам ssh. хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить. и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #26

26. Сообщение от Урри (?), 14-Апр-20, 22:32	+1 +/–
> возможно придется подтюнить ... делается это через передачу параметра ядру Спасибо, мне чтобы работало, а не потрaхаться. Времена, когда я возился с тюнингом ядра прошли, у меня более насущные проблемы. > хотя бы так, что бы он рвал сеанс сразу после ошибочного ввода пароля, а не позволял его пять раз неверно вбить. это есть. > и почитать толковый мануал по айпитейблзу уже! можно даже на русском, например здесь вот - https://ru.wikibooks.org/wiki/Iptables - там масса примеров по типу этого, которые тебя весьма удивят... Спасибо, не надо. Я 20 лет назад этим плотно занимался, когда поддерживал сеть локального интернет провайдера. Больше не хочу. Если передо мной встанет задача подобного масштаба, я с удовольствием приглашу соответствующего специалиста, а пока мне оказалось полностью достаточно fail2ban, /var/log/fail2ban.log подтверждает. Found 123.206.90.149 - 2020-04-14 22:24:03 Found 123.206.90.149 - 2020-04-14 22:24:05 Found 49.234.44.48 - 2020-04-14 22:24:18 Ban 49.234.44.48 Found 49.234.44.48 - 2020-04-14 22:24:20 Found 91.225.77.52 - 2020-04-14 22:24:33 Found 91.225.77.52 - 2020-04-14 22:24:35
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #28

27. Сообщение от bobr (?), 15-Апр-20, 02:40	+1 +/–
Эта штука не для десктопов. Тебе она не понадобится. Точно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

28. Сообщение от Валик (?), 15-Апр-20, 03:33	–1 +/–
весь "секс" от озвученного мною способа заключался бы во вводе аж 2х строк в консольке. ты же, мало того что наставил себе кучу ненужных и дублирующих стандартный функционал сервисов из баш-портянок и демонов, проигнорировал добрые советы (а запас карман не тянет) и расписался тем самым в собственной несостоятельности, так еще и, зачем-то, напоследок поведал мне и другим слушателям множество увлекательнейших историй о своей жизни и о становлении тебя как взрослой личности. понимаю, ты считаешь что это кому-то интересно весьма.. но смею уверить, что лучше бы ты эти сказочки для детишек своих приберег - те хотя бы не скажут тебе в глаза о том, как глупо и сказочно все это звучит со стороны.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26

29. Сообщение от васян (?), 15-Апр-20, 09:39	+/–
> А что в 2k20 делать Вы там в 2200 совсем отупели?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10