Bem, eu tenho usado o portsentry aqui. Preferi configurar ele para escutar apenas em uma porta e redirecionar o trafego das portas que eu queria monitorar (23, 137, 8080, ...) para la com uma regra de pre-routing no firewall. (coloquei a porta para a qual eu redireciono no /etc/porsentry/porsentry.conf em TCP_PORTS e deixei TCP_MODE="tcp" no /etc/default/portsentry) Ah! Essa porta para qual vc redirecionou as tentativas de ataque precisa estar aberta para input no firewall.
Eu fiz isso para evitar que, se por algum motivo o portsentry parar de responder, os pacotes nao chegarao ao servico para o qual devia ser. O problema e que quando alguem e bloqueado, eu nao sei em qual porta ele tentou se conectar (no log aparece como ele tentando conectar na porta para a qual eu redirecionei ele), mas paciencia... Para fazer ele bloquear automaticamente vc so precisa setar a opcao BLOCK_TCP="1", descomentar a linha do KILL_ROUTE para o seu sistema (para mim, a do iptables em linux) e configurar a tolerancia no parametro SCAN_TRIGGERS. Boa sorte, - Samuel ----- Mensagem original ----- De: Leandro Godoy [SMTP:[EMAIL PROTECTED] Enviada em: quarta-feira, 26 de fevereiro de 2003 16:40 Para: Debian-User Assunto: Opniao sobre ferrametas de IDS Pessoal, Quero uma opiniao de voces!! Atualmente utilizo aqui nos servidores (Debian e claro) a dupla Snort+Guardian, lstat(autidor de arquivos), chkrootkit (verifica rootkits) e john the ripper(para testar as senhas), alem do firewall e proxy. No entanto nao estou satisfeito com o Snort+guardian e gostaria de uma outra solucao: Snort+Acid nao serve pois nao quero mysql, apache e php no servidor. Portsentry nao funcionou direito, ou eu nao soube configurar. Psad e uma solucao interessante, mas precisa do firewall para funcionar. Qual outra ferramenta de IDS posso por a trabalhar junto com o Snort e que me gere relatorios e faca bloqueio via regra de firewall ou host.deny? Caso opte pelo Portsentry, alguem conhece algum script, ja pronto, que possa usar para gerar um contra-ataque? Abracos -- __________________________________________ Leandro Godoy Analista de Producao - Projeto AES Sul Centro de Gerencia Service IT Solutions www.service.com.br/marketing ------------------------------------------ Certificado Conectiva Linux ------------------------------------------ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
