Je cherche un outil fonctionnant sous GNU/Linux qui puisse détecter, par analyse des logs : 1. Des balayages de ports. 2. Des attaques brutes (sur Apache, ssh, imap, par exemple).
Une fois une limite atteinte, il bloquerait l'adresse IP concernée temporairement en ajoutant une règle à iptables. Il faudrait qu'il soit léger et rapide à configurer (snort, par exemple, me semble trop lourd).
J'ai trouvé, par exemple, fail2ban, qui traite le premier point et me semble facile à mettre en place mais qui ne s'occupe pas des balayages de ports.
Pour le reste, j'ai là de nombreuses pistes, mais ne peux pas toutes les tester. Un retour d'expérience serait le bienvenue.
Merci.
Les réponses au message de Vincent Ramos (siva_sans_spam@kailaasa.net.invalid)
> Bonjour, > Je cherche un outil fonctionnant sous GNU/Linux qui puisse détecter, par > analyse des logs : > 1. Des balayages de ports. > 2. Des attaques brutes (sur Apache, ssh, imap, par exemple). > Une fois une limite atteinte, il bloquerait l'adresse IP concernée > temporairement en ajoutant une règle à iptables. Il faudrait qu'il soit > léger et rapide à configurer (snort, par exemple, me semble trop lourd). > J'ai trouvé, par exemple, fail2ban, qui traite le premier point et me > semble facile à mettre en place mais qui ne s'occupe pas des balayages de > ports. > Pour le reste, j'ai là de > nombreuses pistes, mais ne peux pas toutes les tester. Un retour > d'expérience serait le bienvenue. > Merci.
Bonjour,
Et si l' "attaquant" usurpe l'ip du DNS de ton FAI ? Tu vas être bien embêté ! Personnellement, je serais prudent avec cela. Bertrand
> Et si l' "attaquant" usurpe l'ip du DNS de ton FAI ? Tu vas être bien > embêté ! Personnellement, je serais prudent avec cela.
Si on se limite à TCP et qu'on utilise une white-list, ça peut être relativement sûr. Mais je me souviens d'un pen-test avec un pare-feu bannissant toute IP faisant un scan, où un flood UDP avec différentes IP sources soigneusement choisies avait quelque peu "perturber" la connectivité Internet :-)
> J'ai trouvé, par exemple, fail2ban, qui traite le premier point et me semble > facile à mettre en place mais qui ne s'occupe pas des balayages de ports.
Pour les scans tu peux regarder du côté de PortSentry qui pourrait après adaptation causer à iptables. Attention à bien configurer le bouzin, le DoS n'est jamais loin...
> Je cherche un outil fonctionnant sous GNU/Linux qui puisse détecter, par > analyse des logs : > 1. Des balayages de ports. > 2. Des attaques brutes (sur Apache, ssh, imap, par exemple).
Merci pour vos commentaires. Entre temps, j'ai trouvé, pour le balayage de ports, psad , qui répond parfaitement au cahier des charges.
Vulnerabilite.com ne peut être tenu responsable des propos tenus dans le Newsgroup fr.comp.securite
Message de BM (no-spam-@free.fr) (23 Octobre 2006)
