Nedělní OT: síťové útoky a co s nimi ?

Pavel Troller patrol@sinus.cz
Neděle Červen 7 14:24:59 CEST 2009


> Podstrcit utocnikovi zdani, ze se mu povedlo zjistit heslo a pak mu nic nedovolit by asi mohla byt nejspolehlivejsi metoda, jak ten utok zastavit. To je zrejme v kostce princip DenyHosts.
> 
> JK

Zdravím,
  díky za informace a náměty. Přidám pár svých:
  1) Útok stále vesele běží. Již je to cca 22 hodin. Jsem zvědav, jak dlouho
to ještě vydrží.
  2) DenyHosts je jednoúčelový nástroj určený pro ochranu sshd. Svoje data
získává z logu sshd. Aby měl takový nástroj smysl i pro Asterisk, musel by
analyzovat samozřejmě jiné logy - to by šlo jistě zařídit, ale také by musel
umět rozeznat více typů útoků - a naopak rozeznat některé atypické zprávy,
které jako útok mohou vypadat, ale ve skutečnosti jím nejsou.
  3) Snort samozřejmě znám, ale jeví se mi na to skutečně už trošku přerostlý,
jde o kompletní IDS, které by to jistě asi šlo naučit, ale ostatní jeho
vlastnosti nepotřebuji.
  4) Nejspíše si napíši vlastní malou utilitku pouze pro SIP, která asi nebude
studovat logy, ale přímo pakety. Ačkoliv jsem našel několik útočných programů
pro SIP (např. v mém prvním příspěvku uvedený SIPvicious, který právě útočník
používá), ochranný program ve stylu DenyHostsjsem zatím nenašel. Další
možností, nad kterou se zamyslím, by mohlo být patchnutí chan_sip.c přímo
ve zdrojácích asterisku a nějakým základním metodám ochrany jej naučit. Asi
o tom podiskutuji v asterisk devel listu.
  S pozdravem Pavel Troller



Další informace o konferenci Hw-list