[Sysadmins] snort и автоблокировка с помощью iptables

Yury Konovalov speccyfan на gmail.com
Сб Сен 26 06:53:46 UTC 2009


Здравствуйте, как дистрибутивно блокировть какие-либо действия из вне?
Установил

snort-inline+flexresp - Snort с чтением трафика через IPTables и автоблокировкой

Добавил правило:

#Submitted by Matt Jonkman
alert tcp $EXTERNAL_NET any -> $HOME_NET 2222 (msg: "BLEEDING-EDGE
Potential SSH Scan"; flags: S; flowbits: set,ssh.brute.attempt;
threshold: type threshold, track by_src, count 5, seconds 120;
classtype: attempted-recon;
reference:url,en.wikipedia.org/wiki/Brute_force_attack; sid: 2001219;
rev:14;)
alert tcp $HOME_NET any -> $EXTERNAL_NET 2222 (msg: "BLEEDING-EDGE
Potential SSH Scan OUTBOUND"; flags: S; flowbits:
set,ssh.brute.attempt; threshold: type threshold, track by_src, count
5, seconds 120; classtype: attempted-recon;
reference:url,en.wikipedia.org/wiki/Brute_force_attack; sid: 2003068;
rev:2;)


С другого адреса начинаю брутофорсить ssh, правило срабатывает:

[**] [1:2003068:2] BLEEDING-EDGE Potential SSH Scan OUTBOUND [**]
[Classification: Attempted Information Leak] [Priority: 2]
09/23-08:29:31.467122 82.219.201.133:41256 -> 82.219.201.130:2222
TCP TTL:62 TOS:0x0 ID:14265 IpLen:20 DgmLen:52 DF
******S* Seq: 0xD0CF4A74  Ack: 0x0  Win: 0x16D0  TcpLen: 32
TCP Options (6) => MSS: 1460 NOP NOP SackOK NOP WS: 4
[Xref => http://en.wikipedia.org/wiki/Brute_force_attack]

Но не блокируется, как правильно сделать что-бы добавлялось правило iptables
для блокировки?
В бранче не нашел ничего вроде SnortSam, Guardian, Hogwash.

-- 
Best Regards, Yury Konovalov aka Speccyfan (2:453/53)
Registered Linux User #379588
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sysadmins/attachments/20090926/aaa53303/attachment.html>


Подробная информация о списке рассылки Sysadmins