[Sysadmins] IDS lists

Ср Окт 10 10:23:14 MSD 2007

>>>>> On 10 Oct 2007 at 11:37 "TB" == Timur Batyrshin writes:

 TB> А есть в природе что-нибудь готовое наподобие этого:
 TB> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
 TB> решение о блокировании некоторых адресов. Например, если какой-нибудь
 TB> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
 TB> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
 TB> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
 TB> какой на него сделать). Что-то подобное есть в виндовозном каспере --
 TB> "Блокировать сеть атакующего".

Пример блокировки ssh от asy@:

# cat /etc/net/ifaces/top/fw/iptables/filter/INPUT
[...]
# ssh restriction
-p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT
-p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set
-p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update --seconds 60 --hitcount 4 -j LOG
-p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update --seconds 60 --hitcount 4 -j DROP

-- 
vvk

Russian Postfix irc: irc.freenode.net #postfix-ru