Какая есть альтернатива Portsentry для FreeBSD?

[HEDG_SS]

Предистория:
Возникла необходимость установить на сервер под FreeBSD 7.0 ПО, которое умело бы определять все виды сканирования. Нашел порт PortSentry v1.2 Вещь хорошая, но под FreeBSD не полность реализовали (к примеру под Линуксом он может работать в 6 режимах, а под FreeBSD только в 2). Он умеет определять только полное подключение к выставленным портам tcp и udp( . К сожалению компанию писавшую данный продукт выкупила cisco и на этом все замерло ( .

Какая есть альтернатива Portsentry для FreeBSD?
Основные требования: ОС FreeBSD
Возможность определять все виды сканирования
Возможность вызова какого-то скрипта (выполнение произвольной команды при обнаружении сканирования)
Возможность болеее интелектуальной настройки определения сканирования (т.е блокировать если это действительно сканирование системы, а не "слуячайное" единичное обращение на порт)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[weec]

затронули довольно интересную тему
пишите, еси будет, что рассказать

[hizel]

snort не?

а вобще: http://www.opennet.ru/prog/sml/85.shtml

[HEDG_SS]

Народ ,поделитесь опытом кто что использует для защиты своих серверов под FreeBSD, втом числе и от сканирования (как первого этапа атаки). Хотябы в трех словах условия использования (какой трафик, какое железо, какую нагрузку даетна систему).
О snort читал немного, отзывы очень положительные . Интерисуют следующие моменты : насколько грузит систему (проц, ОЗУ), как справляется с потоком 200Мб и более?
P.S. hizel спасибо за ссылку, действительно много интересного!

[hizel]

нагрузка приличная при большом pps, так можно не напрягаясь завалить сервак, большим колическтвом запросов
это второй конец палки, как обычно, такова жисть

[HEDG_SS]

нагрузка приличная при большом pps, так можно не напрягаясь завалить сервак, большим колическтвом запросов
это второй конец палки, как обычно, такова жисть

А всеже какой максимальный поток он у Вас обрабатывает (сколько тысяч pps)? Вносятся какие то задержки при обработке потока, если да то насколько существенные (имеется ввиду когда сервер работает в нормальном режиме, а не перегружен)? Имеются ли механизмы, противодействия попыткам "завалить сервер" большим количеством пакетов ? Умеет ли определять атаки на сам сервер? Есть ли механизмы автоматического блокирования атакующего или сканирующего хоста, блокировка опасных пакетов и т.д. Полностью ли snort портирован под FreeBSD, нет ли ограничения функционала?
Где можно взять наиболее полную документацию yа русском языке (к сожалению в английском не силен )

[kirgudu]

Хм... Нафига, позвольте спросить? Ну сканят, да пусть хоть усканятся. Мои полторы сотни серверов сканят каждый день по 20 раз, да и наплевать. )

Хороший фаервол, доступ к критичным сервисам только с определенных ip, зажатие публичных сервисов фаерволом, чрутом, джейлом.

PS: кстати, при большом числе пакетов (100'000 qps) bpf, через который работает снорт, очень хорошо напрягает машину. В промышленных масштабах лучше не допускать левые пакеты до машин, а резать на сетевом уровне железками типа fwsm под cisco 6500, 7600.

[HEDG_SS]

Просто на провайдере нельзя полностью все зажать для клиентов. Подкрутил немного, но все же хотелось бы видеть активность по сканированию и видеть своих "доморощеных хакеров" и вирусную активность в сети. Просто по своему опыту знаю, что просканировав сервер, получить тут же звонок от провайдера с преудпреждением через 15 мин... Оставляет некоторое впечатление и отбивает охоту что-то делать дальше )
В общем хочу спать спокойно ) , иногда что-то докручивая..

[hizel]

я не использую такое ПО, не вижу смысла ставить такое на сервак, лучше поставить сбоку машинку зазеркалировать туда трафик и анализировать

[HEDG_SS]

я не использую такое ПО, не вижу смысла ставить такое на сервак, лучше поставить сбоку машинку зазеркалировать туда трафик и анализировать

А если серверов 15 штук и поток порядка 100-180Мб ?

[kirgudu]

я не использую такое ПО, не вижу смысла ставить такое на сервак, лучше поставить сбоку машинку зазеркалировать туда трафик и анализировать

Обзаркалируешься. При потоке в 80-100 мегабит смотреть на машинке бестолку. тормоза и число пакетов будет убивать все живое.

[hizel]

но не сервак с критичными приложениями
сиско выпускает специальные модули для таких вещей, стоиящие многие килобаксы и способные анализировать трафик с большим pps

[HEDG_SS]

но не сервак с критичными приложениями
сиско выпускает специальные модули для таких вещей, стоиящие многие килобаксы и способные анализировать трафик с большим pps

Cisco это хорошо, но как-то мягко говоря дорого ( . А контроль, мониторинг и защита нужны, без них ни как )

[hizel]

бОльший трафик - бОльшие цены

[HEDG_SS]

hizel » 2009-01-26 16:13:46
бОльший трафик - бОльшие цены

Хорошо, если у фирмы есть такие возможности, а если по финансам не вытягивает ... ?
Неужели под FreeBSD нет ничего толкового кроме snort и частично реализованного portsentry ??
И еще снорт поднимается в основном на шлюзах для проверки проходящего трафика, а можно ли его настроить для использвания аналогично portsentry например на сервере почты или веба?

[hizel]

чем вам snort не угадил?

[HEDG_SS]

чем вам snort не угадил?

Можно ли его настроить для использвания аналогично portsentry например на сервере почты или веба?
Просто под каждую задачу обычно есть несколько решений, и пытаешься выбрать наиболее оптимальный инструмент. А какой тут выбор, если альтернатив нет ?

[hizel]

а вы на официальный сайт заходили?
свинка очень гибкий и настраиваемы инструмент с кучей плагинов

[HEDG_SS]

а вы на официальный сайт заходили?
свинка очень гибкий и настраиваемы инструмент с кучей плагинов

Да, заходил на официальный сайт http://snort.org/ . Неоднократно натыкался в интернете на признание, что это лучшая NIDS. И про веб морду читал и про взаимодействие с базами и еще много всего хорошего и полезного )
Интерисовали некоторые практические ньюансы. Да и не везде столь мощный инструмент нужен (в сети разные сервера, с разными задачами и нагрузкой). Поэтому и хотел узнать, что еще можно использовать...