Bonsoir,
Portsentry, d'apres ce que je comprends, est un IDS actif qui s'appuie sur le firewall de linux (iptables) et TCPWarper.
Par actif, c'est à dire qu'il réagit aux attaques.
Est ce que pour autant on peut bannir des IP qui scannent ? ... Et puis même s'il bannit, ou est l'intéret ? La plupart des "scanner" sont des petits cons de particuliers qui comprennent à peine ce qu'ils font et qui changerons d'IP au prochain redémarrage de leur machine. Et pour ceux qui maitrisent ce n'est pas avec leur IP qu'ils attaques, donc...
Bref, un bon firewall qui logue, un IDS qui logue et un "watcher" de log doit amplement suffir. Si je me trompe, je serai ravi d'avoir informations et/ou documentations. Merci.
@+
--- Marchons seul, sans faire le mal, sans rien attendre, tel l'éléphant qui traverse la forêt. ---
Poste le Thursday 13 January 2005 19:56:53