Изпечатай

[limbozon]

Здравейте възможно ли е да се следят  атаките от вън със снорт без да е инсталирам на рутер,а примерно на локален компютър?

[ntrance]

Здравейте възможно ли е да се следят  атаките от вън със снорт без да е инсталирам на рутер,а примерно на локален компютър?

Само питам , кои атаки да следиш и какво разбираш под атака  за да ми е по лесно да разбера и да ти кажем.

Те не са една и две и три

[limbozon]

Под атаки разбирам сканиране на портове,dos attacks,brute force,флудване.От такива неща атаки искам да се пазя.Аз имам инсталирам снорт на един дебиан,но не е рутер и затова питам дали ще мога наблюдавам за такива  мрежови атаки.

[limbozon]

И сега какво?Чака се все още отговор!

[ntrance]

И сега какво?Чака се все още отговор!

Поне аз не се сещам всичко в едно , реално зето аз ползвам няколко неща за следене , fail2ban  , iptables , netstat , portsentry, ossec , няколко мои скриптове  ,sendmail  и няколко още други. А за самата защита според зависи какво ползваш, може да ти трябва и прокси  за да ограничаваш  може да ти трябва и qos  , може да ти трябват доста неща .
Ако ползваш мейл сървър там пак други защите се изискват. Ако ползваш много сайтове и бинд там пак е отделно и така.
Snorta прави правила може да спре много неща но трябва да знаеш кое и защо. Пак казвам това което искаш е относително  първо трябва да знаеш от кое и как да се защититиш . В случай че имаш рутер преди линукса  няма ти трябва фиреуол. Вскичките сканирания там дос атаки и тем подобни за който си чувал ще ходят там в него. Е ако не си прехварлил дмз-то към твоя линукс . Да не говорим че може да нямаш и реално ип.

[limbozon]

И аз ползвам netstat и iptables,но се виждат само ип-та.Друго си е да виждаш какво точно се опитват да направят.Снорта съм го настроил много добре.Работи идеално в мрежата.Пробвах различни атаки и ги показва,но външните опити не ми ги дава в това се корени проблема.

[ntrance]

И аз ползвам netstat и iptables,но се виждат само ип-та.Друго си е да виждаш какво точно се опитват да направят.Снорта съм го настроил много добре.Работи идеално в мрежата.Пробвах различни атаки и ги показва,но външните опити не ми ги дава в това се корени проблема.

Човек  дай някой пример какво искаш да спреш   или да гледаш за да ти се каже   какъв мониторинг да си направиш или как . Стига с тези общи  правила. И с нетстат не виждаш само ип-та. 

[limbozon]

Говорех за iptables,не за нетстат.Аз вече казах примери.Добре че iptables ми показва и портовете през които се опитват да влизат.От тях горе долу мога да преценя какво се опитват да направят.

[borovaka]

Здравей,
Ако съм те разбрал правилно желаеш снорта ти да следи входните връзки към рутера, но самият снорт да е инсталиран на друг компютър в мрежата ти.
Ако правилно съм разбрал нещата, не мисля че би могло да се получи. Варянтът който виждам да си инсталираш снорта на нашината, след това да настроиш дмз на рутера да ти е машината със снорта, после да си използваш компа като рутер със собстен firewall.
Не знам дали съм разбрал правилно въпростът ти, ако нещо не съответства на твоята постанова моля пиши за да могат всички във форума да разберат конкретно какво желаеш да направиш.

[limbozon]

Правилно си ме разбрал "borovak",не се бях сетил за DMZ на рутера.Ще пробвам този вариант.

[VladSun]

Ако съм те разбрал правилно желаеш снорта ти да следи входните връзки към рутера, но самият снорт да е инсталиран на друг компютър в мрежата ти.
Ако правилно съм разбрал нещата, не мисля че би могло да се получи.

Има начини -
1) например добрите стари хъбове
2) Или суич с mirror  (SPAN) порт.
3) Или tap - http://en.wikipedia.org/wiki/Network_tap
4) Или софтуерно - чрез iptables, ROUTE с tee параметър.

[limbozon]

Мерси за съветите "Vladsun" и тях ще ги пробвам.

[borovaka]

VladSun мерси за пояснението.
Не съм много наясно от админска гледна точка.
И аз ще попрочета за начините които си описал.