Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Détecter les scans de port ?
Salut à tous,
j'administre des serveurs Linux disposant d'une adresse publique.
Je souhaiterais pourvoir détecter les scans de ports lancés depuis Internet.
J'ai essayé scanlogd que je ne trouve pas performant.
J'ai par ailleurs essayé PortSentry qui lui me génère des faux positifs.
Vous avez une autre idée ?
J'ai pensé à Snort en dernier recour..
Quel que soit l'outils utiliser le risque de faux positifs est tres important, pour les rendre moins fréquent c'est un gros travail de parametrage.
snort a une bonne reputation, mais n'empeche pas les faux positifs.
Dans ce domaine rien à ce jour ne remplace completement l'oeil de l'administrateur.
Je suis tout a fait d'accord avec toi, rien ne remplace l'oeil de l'amdinistrateur.
Mais tu as besoin de bons outils pour bien travailler.
Snort est installé depuis 48H et configuré.
Pas mal de scans.
Ceci-dit difficile de savoir s'il s'agit de faux positifs...
je me fait scanner une centaine de fois par jour voir pendant les vacances ca monte au millier de scan a un moment faut faire du menage et faire du suivi de paquets reseaux parce qu'un scan en lui meme n'est pas dangereux , sauf qu'il genere du traffic reseaux en plus et surtout , surtout du travail en plusCeci-dit difficile de savoir s'il s'agit de faux positifs...
note t'as penser a configurer snort uniqument our ce que tu possede au moins ( sert a rien de garder une regle iis si ont en as pas ). juste au cas ou
J'ai configuré Snort pour limiter la surveillance aux services qui tournent uniquement sur les serveurs.
J'aime pouvoir détecter les scans car ca me permet dans certains cas de "reconstituer" l'histoire: le bruteforce SSH a-t-il été précédé d'un scan ? Les accès FTP sont-ils anonymes réellement ou des visites de reconnaissance appuyés de scan ? ...
commence alors a renforcer tes services par fail2ban ou sshblack et limiter le nombre de tentaive ftp etc... tu verras tu passeras de plusieurs centaine de Mo a +- 1 a 3 Mo , mais snort a quand meme quelques lacune , difficulte de faire de la correlation dans le temps ex genre une ip qui lance un scan et scan un service toute les 50 min pour rester furtif.le bruteforce SSH a-t-il été précédé d'un scan ?
J'ai mis fail2ban pour éviter les attaques interminables par dictionnaire.
D'ailleurs ces attaques correspondent à des attaques lancées depuis des zombis, non ?
hmm pas toujour le net est peupler de tellement de script kiddies et en plus tout le monde croit a l'anonymat sur internetD'ailleurs ces attaques correspondent à des attaques lancées depuis des zombis, non ?
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager