RE: Nedělní OT: síťové útoky a co s nimi ?

Tomáš Koželuh mr.death@ipq.cz
Neděle Červen 7 15:10:45 CEST 2009


Já jsem teď Snort trošku prostudoval a mělo by jít všechno povypínat až na
SIP modul (akorát jsem nepátral, jestli nějaký SIP module je) a případně se
povrtat v pravidlech toho SIP modulu.
Ale jinak souhlasím, že Snort je zbytečný kolos na jednu takovou akci.

> -----Original Message-----
> From: hw-list-bounces@list.hw.cz [mailto:hw-list-bounces@list.hw.cz] On
> Behalf Of Pavel Troller
> Sent: Sunday, June 07, 2009 2:25 PM
> 
> Zdravím,
>   díky za informace a náměty. Přidám pár svých:
>   1) Útok stále vesele běží. Již je to cca 22 hodin. Jsem zvědav, jak
> dlouho
> to ještě vydrží.
>   2) DenyHosts je jednoúčelový nástroj určený pro ochranu sshd. Svoje
> data
> získává z logu sshd. Aby měl takový nástroj smysl i pro Asterisk, musel
> by
> analyzovat samozřejmě jiné logy - to by šlo jistě zařídit, ale také by
> musel
> umět rozeznat více typů útoků - a naopak rozeznat některé atypické
> zprávy,
> které jako útok mohou vypadat, ale ve skutečnosti jím nejsou.
>   3) Snort samozřejmě znám, ale jeví se mi na to skutečně už trošku
> přerostlý,
> jde o kompletní IDS, které by to jistě asi šlo naučit, ale ostatní jeho
> vlastnosti nepotřebuji.
>   4) Nejspíše si napíši vlastní malou utilitku pouze pro SIP, která asi
> nebude
> studovat logy, ale přímo pakety. Ačkoliv jsem našel několik útočných
> programů
> pro SIP (např. v mém prvním příspěvku uvedený SIPvicious, který právě
> útočník
> používá), ochranný program ve stylu DenyHostsjsem zatím nenašel. Další
> možností, nad kterou se zamyslím, by mohlo být patchnutí chan_sip.c
> přímo
> ve zdrojácích asterisku a nějakým základním metodám ochrany jej naučit.
> Asi
> o tom podiskutuji v asterisk devel listu.




Další informace o konferenci Hw-list