- A hozzászóláshoz be kell jelentkezni
- 1792 megtekintés
Hozzászólások
errol mar beszeltunk a csatin :)
jol ki lehet tiltani vele az egesz vilagot :)
- A hozzászóláshoz be kell jelentkezni
igen, ahogy a cikkben is le van irva. Nyilvan ezert van a idolimit.
- A hozzászóláshoz be kell jelentkezni
valami hasonlot, de az sokkal gyengebb volt, ha jol emlekszem
Az is a scannelt portokat figyelte, de az a tcp wrappert hasznalta fel a blokkolashoz. A /etc/hosts.deny fileba irogatott.
- A hozzászóláshoz be kell jelentkezni
teny, hogy regi es gyenge. viszont pont arra jo, hogy kizarjam a gyanus kopogtatokat. nalam mar iptables-szel mukodik.
- A hozzászóláshoz be kell jelentkezni
Azt hiszem (IIRC) a portsentrynek az az egyetlen nagy hatranya volt, hogy a "megfigyeleshez" sajat maga is nyitott portokat, amelyen "figyelt". De mar evek ota nem tartom szemmel a portsentry fejleszteset, ugyhogy akar most mar mashogy is mukodhet. ;-)
- A hozzászóláshoz be kell jelentkezni
hat igen. ha spoofolt ip cimmel scannellek akkor barkit fel is tudsz jelenteni ;-) aztan kap 5 ev kotelet scannelesert. ez ellen nincs vedelem. :-)
- A hozzászóláshoz be kell jelentkezni
produktiv szerveren cseszheted :)
ott az a lenyeg, hogy mindenki elerje...
- A hozzászóláshoz be kell jelentkezni
Nem teljesen igy, mert portsentrynek konfigfajbol meg lehet mondani hogy mit csinaljon az adott hosttal, be tudja tenni /etc/hosts.deny-ba, tud ra egy tilto szabalyt alkotni a packetfilterbe (ipchains, iptables,ipf,ipfw tuti muxik igy, de sztem pf is), meg tudsz sajat scriptet is irni ami parameterkent kapja meg az IP-cimet. Szoval nem olyan rossz az a portsentry. A figyeleshez amugy tenyleg bindel egy csomo portra, emiatt azok egy nmap-nal nyitott portoknak latszanak (altalaban addig amig a portsentry ezt meg nem unja es ki nem tiltja az IP-det a fent emlitett modok egyikevel).
- A hozzászóláshoz be kell jelentkezni
na ja. csak az nagy ellenkezes targya abban az idoben az volt, hogy a portsentry root joggal futott, hogy az ipchains rule-okat tudja machinalni. akkor elegendo egy b0f a portsentryben es maris root shell vanik tavolrol. Legalabbis a nagy guruk igy magyarzatak ki anno.
- A hozzászóláshoz be kell jelentkezni
Lehet, de ezen a téren ne legyenek illúzióid: a snort portot ugyan nem nyit meg, de ott figyel a kártyán, és rajta keresztül is be lehet jutni a gépre szerencsétlen esetben. Mostanában volt is egy security patch a snortban hasonló probléma miatt. Ha ilyen kitiltási játékot akarsz csinálni (bár nem BSD), akkor próbálkozhatsz az fwlogwatch nevű programmal, az a kernel logját figyeli, és az iptables/ipchains logja alapján képes be is avatkozni. Persze én sem állítom, hogy jó dolog leDOSoltatni a géped :)))
- A hozzászóláshoz be kell jelentkezni