Je cherche un outil fonctionnant sous GNU/Linux qui puisse détecter, par
analyse des logs :
1. Des balayages de ports.
2. Des attaques brutes (sur Apache, ssh, imap, par exemple).
Une fois une limite atteinte, il bloquerait l'adresse IP concernée
temporairement en ajoutant une règle à iptables. Il faudrait qu'il soit
léger et rapide à configurer (snort, par exemple, me semble trop lourd).
J'ai trouvé, par exemple, fail2ban, qui traite le premier point et me semble
facile à mettre en place mais qui ne s'occupe pas des balayages de ports.
Pour le reste, j'ai là <http://www.gentoo-portage.com/net-analyzer> de
nombreuses pistes, mais ne peux pas toutes les tester. Un retour
d'expérience serait le bienvenue.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
BM
Vincent Ramos wrote:
Bonjour,
Je cherche un outil fonctionnant sous GNU/Linux qui puisse détecter, par analyse des logs : 1. Des balayages de ports. 2. Des attaques brutes (sur Apache, ssh, imap, par exemple).
Une fois une limite atteinte, il bloquerait l'adresse IP concernée temporairement en ajoutant une règle à iptables. Il faudrait qu'il soit léger et rapide à configurer (snort, par exemple, me semble trop lourd).
J'ai trouvé, par exemple, fail2ban, qui traite le premier point et me semble facile à mettre en place mais qui ne s'occupe pas des balayages de ports.
Pour le reste, j'ai là <http://www.gentoo-portage.com/net-analyzer> de nombreuses pistes, mais ne peux pas toutes les tester. Un retour d'expérience serait le bienvenue.
Merci.
Bonjour,
Et si l' "attaquant" usurpe l'ip du DNS de ton FAI ? Tu vas être bien embêté ! Personnellement, je serais prudent avec cela. Bertrand
Vincent Ramos wrote:
Bonjour,
Je cherche un outil fonctionnant sous GNU/Linux qui puisse détecter, par
analyse des logs :
1. Des balayages de ports.
2. Des attaques brutes (sur Apache, ssh, imap, par exemple).
Une fois une limite atteinte, il bloquerait l'adresse IP concernée
temporairement en ajoutant une règle à iptables. Il faudrait qu'il soit
léger et rapide à configurer (snort, par exemple, me semble trop lourd).
J'ai trouvé, par exemple, fail2ban, qui traite le premier point et me
semble facile à mettre en place mais qui ne s'occupe pas des balayages de
ports.
Pour le reste, j'ai là <http://www.gentoo-portage.com/net-analyzer> de
nombreuses pistes, mais ne peux pas toutes les tester. Un retour
d'expérience serait le bienvenue.
Merci.
Bonjour,
Et si l' "attaquant" usurpe l'ip du DNS de ton FAI ? Tu vas être bien
embêté ! Personnellement, je serais prudent avec cela.
Bertrand
Je cherche un outil fonctionnant sous GNU/Linux qui puisse détecter, par analyse des logs : 1. Des balayages de ports. 2. Des attaques brutes (sur Apache, ssh, imap, par exemple).
Une fois une limite atteinte, il bloquerait l'adresse IP concernée temporairement en ajoutant une règle à iptables. Il faudrait qu'il soit léger et rapide à configurer (snort, par exemple, me semble trop lourd).
J'ai trouvé, par exemple, fail2ban, qui traite le premier point et me semble facile à mettre en place mais qui ne s'occupe pas des balayages de ports.
Pour le reste, j'ai là <http://www.gentoo-portage.com/net-analyzer> de nombreuses pistes, mais ne peux pas toutes les tester. Un retour d'expérience serait le bienvenue.
Merci.
Bonjour,
Et si l' "attaquant" usurpe l'ip du DNS de ton FAI ? Tu vas être bien embêté ! Personnellement, je serais prudent avec cela. Bertrand
Nicob
On Mon, 23 Oct 2006 12:34:08 +0000, BM wrote:
Et si l' "attaquant" usurpe l'ip du DNS de ton FAI ? Tu vas être bien embêté ! Personnellement, je serais prudent avec cela.
Si on se limite à TCP et qu'on utilise une white-list, ça peut être relativement sûr. Mais je me souviens d'un pen-test avec un pare-feu bannissant toute IP faisant un scan, où un flood UDP avec différentes IP sources soigneusement choisies avait quelque peu "perturber" la connectivité Internet :-)
Nicob
On Mon, 23 Oct 2006 12:34:08 +0000, BM wrote:
Et si l' "attaquant" usurpe l'ip du DNS de ton FAI ? Tu vas être bien
embêté ! Personnellement, je serais prudent avec cela.
Si on se limite à TCP et qu'on utilise une white-list, ça peut être
relativement sûr. Mais je me souviens d'un pen-test avec un pare-feu
bannissant toute IP faisant un scan, où un flood UDP avec différentes IP
sources soigneusement choisies avait quelque peu "perturber" la
connectivité Internet :-)
Et si l' "attaquant" usurpe l'ip du DNS de ton FAI ? Tu vas être bien embêté ! Personnellement, je serais prudent avec cela.
Si on se limite à TCP et qu'on utilise une white-list, ça peut être relativement sûr. Mais je me souviens d'un pen-test avec un pare-feu bannissant toute IP faisant un scan, où un flood UDP avec différentes IP sources soigneusement choisies avait quelque peu "perturber" la connectivité Internet :-)
Nicob
Vincent Ramos
Je cherche un outil fonctionnant sous GNU/Linux qui puisse détecter, par analyse des logs : 1. Des balayages de ports. 2. Des attaques brutes (sur Apache, ssh, imap, par exemple).
Merci pour vos commentaires. Entre temps, j'ai trouvé, pour le balayage de ports, psad <http://www.cipherdyne.com/psad/>, qui répond parfaitement au cahier des charges.
Je cherche un outil fonctionnant sous GNU/Linux qui puisse détecter, par
analyse des logs :
1. Des balayages de ports.
2. Des attaques brutes (sur Apache, ssh, imap, par exemple).
Merci pour vos commentaires. Entre temps, j'ai trouvé, pour le balayage de
ports, psad <http://www.cipherdyne.com/psad/>, qui répond parfaitement au
cahier des charges.
Je cherche un outil fonctionnant sous GNU/Linux qui puisse détecter, par analyse des logs : 1. Des balayages de ports. 2. Des attaques brutes (sur Apache, ssh, imap, par exemple).
Merci pour vos commentaires. Entre temps, j'ai trouvé, pour le balayage de ports, psad <http://www.cipherdyne.com/psad/>, qui répond parfaitement au cahier des charges.