[Sysadmins] Snort rules

[Dmitriy L. Kruglikov]

On Fri, 10 Mar 2006 11:16:26 +0300
Anatoliy Lisjutin wrote:

> Здравствуйте!
> В сообщении от Пятница 10 Март 2006 11:13 Anatoliy Lisjutin написал(a):
> > В сообщении от Четверг 09 Март 2006 11:35 Dmitriy L. Kruglikov 
> написал(a):
> 
> > Или я не догоняю что-то?
> Все же не догоняю, надо еще проверять , нет ли этого адреса уже в правилах 
> iptables.  И вставить ето вместо `grep $i /etc/hosts.deny | sed 
> 's/.#.*//'`
Дело вовсе не в том, чтобы по крону что-то выбрать и добавить
куда-то ...
Все дело в том, что это нужно делать немедленно!!!

Если имеется факт подключения к сервису чаще чем один раз в 15-20-30
секунд, и имя/пароль неправильные, и более того, в несколько потоков с
одного (или не одного) адреса, то это атака с подбором по словарю...
И тут нужно заблокировать этот адрес немедленно.
А по крону, не чаще чем раз в минуту... И лог за прошлую минуту...
А если лог большой, то парситься он будет долго...
Если вообще не свалится в кору...

Твой вариант защиты даст ложное чувство защищенности и самоуспокоения,
что, чаще всего, дает плачевный результат...

А может быть я параноик :)

Но лучше перебдеть, чем недобдеть...

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov на orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/