Conversation
precedente ou
suivante
Re: bannir les IP qui font du port scanning
Envoyé par:
Jonesy's
Bonjour,
Automatiquement, je ne sais pas, mais en tous les cas tu peux "bannir" des IP avec iptables.
Mais là c'est plutot dans le sens, en interdir l'acces.
Après je ne vois pas trop comment tu peux empécher quelqu'un de scanner le réseau...
Tu peux l'empécher de te voir, mais pas de scanner, enfin d'après ce que je comprends de tout ce bordel...
@+
--- Marchons seul, sans faire le mal, sans rien attendre, tel l'éléphant qui traverse la forêt. ---
Automatiquement, je ne sais pas, mais en tous les cas tu peux "bannir" des IP avec iptables.
Mais là c'est plutot dans le sens, en interdir l'acces.
Après je ne vois pas trop comment tu peux empécher quelqu'un de scanner le réseau...
Tu peux l'empécher de te voir, mais pas de scanner, enfin d'après ce que je comprends de tout ce bordel...
@+
--- Marchons seul, sans faire le mal, sans rien attendre, tel l'éléphant qui traverse la forêt. ---
Poste le Thursday 13 January 2005 13:02:41
Re: bannir les IP qui font du port scanning
Envoyé par:
Alchemist
Poste le Thursday 13 January 2005 19:32:26
Re: bannir les IP qui font du port scanning
Envoyé par:
Jonesy's
Bonsoir,
Portsentry, d'apres ce que je comprends, est un IDS actif qui s'appuie sur le firewall de linux (iptables) et TCPWarper.
Par actif, c'est à dire qu'il réagit aux attaques.
Est ce que pour autant on peut bannir des IP qui scannent ? ... Et puis même s'il bannit, ou est l'intéret ? La plupart des "scanner" sont des petits cons de particuliers qui comprennent à peine ce qu'ils font et qui changerons d'IP au prochain redémarrage de leur machine. Et pour ceux qui maitrisent ce n'est pas avec leur IP qu'ils attaques, donc...
Bref, un bon firewall qui logue, un IDS qui logue et un "watcher" de log doit amplement suffir. Si je me trompe, je serai ravi d'avoir informations et/ou documentations. Merci.
@+
--- Marchons seul, sans faire le mal, sans rien attendre, tel l'éléphant qui traverse la forêt. ---
Portsentry, d'apres ce que je comprends, est un IDS actif qui s'appuie sur le firewall de linux (iptables) et TCPWarper.
Par actif, c'est à dire qu'il réagit aux attaques.
Est ce que pour autant on peut bannir des IP qui scannent ? ... Et puis même s'il bannit, ou est l'intéret ? La plupart des "scanner" sont des petits cons de particuliers qui comprennent à peine ce qu'ils font et qui changerons d'IP au prochain redémarrage de leur machine. Et pour ceux qui maitrisent ce n'est pas avec leur IP qu'ils attaques, donc...
Bref, un bon firewall qui logue, un IDS qui logue et un "watcher" de log doit amplement suffir. Si je me trompe, je serai ravi d'avoir informations et/ou documentations. Merci.
@+
--- Marchons seul, sans faire le mal, sans rien attendre, tel l'éléphant qui traverse la forêt. ---
Poste le Thursday 13 January 2005 19:56:53
Re: bannir les IP qui font du port scanning
Envoyé par:
Alchemist
Oui, tu as tout a fait raison à propos des "scanner". Je répond seulement à la question qui était :
Oui, Porstsentry est actif, il peut lors d'un scan de port, détecter le scan, et se défendre, soit en rajoutant l'adresse ip dans /etc/hosts.deny soit rajouter une règle iptables. Mais il peut également envoyer un mail pour prévenir du scan. Il peut egalement permettre de lancer une commande(pourquoi pas un script admin) lorsqu'il détecte un scan. Au final, il bloque le scan dés sa détection.
C'est un outil que j'aime bien parce que pas trop difficile à mettre en place(par rapport à snort ou prelude), bien pratique pour bloquer les scans. Un script dans crontab permmettant de nettoyer le hosts.deny tous les soirs.;-)
2 petits liens sympas
[www.funix.org]
[www.ze-linux.org]
--
A winner is a dreamer who never quits
];-)Citation
deb
Je cherche une application qui permette de détecter et bannir
automatiquementles IP qui font du port scanning sur mon PC,
par exemple avec nmap ...,
Oui, Porstsentry est actif, il peut lors d'un scan de port, détecter le scan, et se défendre, soit en rajoutant l'adresse ip dans /etc/hosts.deny soit rajouter une règle iptables. Mais il peut également envoyer un mail pour prévenir du scan. Il peut egalement permettre de lancer une commande(pourquoi pas un script admin) lorsqu'il détecte un scan. Au final, il bloque le scan dés sa détection.
C'est un outil que j'aime bien parce que pas trop difficile à mettre en place(par rapport à snort ou prelude), bien pratique pour bloquer les scans. Un script dans crontab permmettant de nettoyer le hosts.deny tous les soirs.;-)
2 petits liens sympas
[www.funix.org]
[www.ze-linux.org]
--
A winner is a dreamer who never quits
Poste le Thursday 13 January 2005 21:20:11
Re: bannir les IP qui font du port scanning
Envoyé par:
Jonesy's
Re...
Merci beaucoup Alchemist !
Je crois que je vais me pencher sur cet IDS. :-)
Snort m'ayant bien pris la tête ! ;-p
J'adore Linux on en apprend tous les jours ! ^^D-*
@+
--- Marchons seul, sans faire le mal, sans rien attendre, tel l'éléphant qui traverse la forêt. ---
Merci beaucoup Alchemist !
Je crois que je vais me pencher sur cet IDS. :-)
Snort m'ayant bien pris la tête ! ;-p
J'adore Linux on en apprend tous les jours ! ^^D-*
@+
--- Marchons seul, sans faire le mal, sans rien attendre, tel l'éléphant qui traverse la forêt. ---
Poste le Thursday 13 January 2005 21:26:28
Re: bannir les IP qui font du port scanning
Envoyé par:
Alchemist
Attention, tu ne pourras pas faire 1/5 de ce que fait snort, mais il répond à de petits besoins. Tant mieux si ça peut te servir
Pas mieux :-))
--
A winner is a dreamer who never quits
Citation
Jonesy's
J'adore Linux on en apprend tous les jours !
Pas mieux :-))
--
A winner is a dreamer who never quits
Poste le Thursday 13 January 2005 21:32:59
Ce forum !
bannir les IP qui font du port scanning
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons