From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00,NORMAL_HTTP_TO_IP, WEIRD_PORT autolearn=no version=3.2.5 X-Virus-Scanned: amavisd-new at nevod.ru Message-ID: <4AC0363C.4000506@nevod.ru> Date: Mon, 28 Sep 2009 10:06:20 +0600 From: =?KOI8-R?Q?=FB=C9=C7=C1=D0=CF=D7_=F2=C9=CE=C1=D4?= User-Agent: Thunderbird 2.0.0.17 (X11/20080929) MIME-Version: 1.0 To: ALT Linux sysadmin discuss References: <99785b730909252353s6ac41f24l8dbef555ce11b1fc@mail.gmail.com> In-Reply-To: <99785b730909252353s6ac41f24l8dbef555ce11b1fc@mail.gmail.com> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] =?koi8-r?b?c25vcnQgySDB19TPwszPy8nSz9fLwSDTINDPzc/d?= =?koi8-r?b?2MAgaXB0YWJsZXM=?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 28 Sep 2009 04:06:37 -0000 Archived-At: List-Archive: Yury Konovalov пишет: > Здравствуйте, как дистрибутивно блокировть какие-либо действия из вне? > Установил > > snort-inline+flexresp - Snort с чтением трафика через IPTables и автоблокировкой > > > > Добавил правило: > > #Submitted by Matt Jonkman > alert tcp $EXTERNAL_NET any -> $HOME_NET 2222 (msg: "BLEEDING-EDGE Potential SSH Scan"; flags: S; flowbits: set,ssh.brute.attempt; threshold: type threshold, track by_src, count 5, seconds 120; classtype: attempted-recon; reference:url,en.wikipedia.org/wiki/Brute_force_attack ; sid: 2001219; rev:14;) > > alert tcp $HOME_NET any -> $EXTERNAL_NET 2222 (msg: "BLEEDING-EDGE Potential SSH Scan OUTBOUND"; flags: S; flowbits: set,ssh.brute.attempt; threshold: type threshold, track by_src, count 5, seconds 120; classtype: attempted-recon; reference:url,en.wikipedia.org/wiki/Brute_force_attack ; sid: 2003068; rev:2;) > > > > С другого адреса начинаю брутофорсить ssh, правило срабатывает: > > [**] [1:2003068:2] BLEEDING-EDGE Potential SSH Scan OUTBOUND [**] > > [Classification: Attempted Information Leak] [Priority: 2] > 09/23-08:29:31.467122 82.219.201.133:41256 -> 82.219.201.130:2222 > TCP TTL:62 TOS:0x0 ID:14265 IpLen:20 DgmLen:52 DF > > ******S* Seq: 0xD0CF4A74 Ack: 0x0 Win: 0x16D0 TcpLen: 32 > TCP Options (6) => MSS: 1460 NOP NOP SackOK NOP WS: 4 > [Xref => http://en.wikipedia.org/wiki/Brute_force_attack] > > > > Но не блокируется, как правильно сделать что-бы добавлялось правило > iptables для блокировки? > В бранче не нашел ничего вроде SnortSam, Guardian, Hogwash. > Одна из альтернатив - использовать модуль recent для iptables. См., к примеру, http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/ -- С уважением, Шигапов Ринат инженер-программист ООО "Невод" тел. (342)2196960 JabberID: dxist эт ya.ru