Na jednom nasem routru byl zaznamenán pokus o scan IP daneho subnetu.Admin mi vysvetlil ze se dá podniknout zákaz zdrojové IP odkud to jde(je to asi vir ci hack).Prý se tomu dá bránit IDS (IDS sondy ),nevíte někdo jak tohle implementovat na Debian?
Nejednodussi je blokovat pakety pomoci iptables, t.j. dat tam pravdlo, ktere pakety ze zavadne IP adresy zahazuje. Soucasne hlidat, aby system byl aktualizovany a nebyly tam otevrene zadne zbytecne porty (sluzby).
Instalaci snortu na router bych nedoporucoval, je to prilis slozita vec s komlikovanym nastavenim. Generuje to spoustu hlasek a hodi se to spis do kontrolu trafiku v podnikovych siti (pred nebo za firewalem).
jestli znas zdrojovou IP adresu scanu, muzes pouzit
iptables -I INPUT -s TA_IP_ADRESA -j DROP
a kernel bude zahazovat vsechno, co z ni prichazi. Ale mozna by bylo konstruktivnejsi zjistit ci to je pocitac a s dotycnym clovekem se dohodnout --- jestli je to virus, bude asi rad, jestli je to on, nebo nekdo pres jeho stroj, aspon v tom budes mit jasno.
Navic aspon IMHO na scanu neni nic ilegalniho --- pokud by to byl clovek a hledal cile k napadeni, muze nejdriv scanovat, ale z toho ze Ti scanuje pocitac neplyne, ze Te chce napadnout.
09.05.2004 v 14:26
