10-17-2008, 10:13 PM
|
#1241 |
|
Duke
 
Join Date: Jan 2007
Posts: 3,939
 |
estaba buscando información sobre algún host ids para linux y me he encontrado con esto:
http://www.linuxsecurity.com/resourc...-tutorial.html Para mí el mejor manual de iptables que he visto hasta ahora, queda archivado para futura lectura  . Muy completo y muy bien explicado todo.ya que estoy... alguno conoce algún host ids que funciona bajo linux? :P
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia "uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan |
|
|
|
10-17-2008, 10:15 PM
|
#1242 |
|
Marquis
Join Date: Oct 2006
Location: no se pudo establecar conexión con el servidor
Posts: 2,057
|
si me decís a cual de todas estas definiciones corresponde ids te ayudo a buscar programa:
http://www.google.com/search?q=defin...nt=iceweasel-a pd: ¿manual de iptables?... mejor ir a las fuentes http://www.netfilter.org/
__________________
in theCopyleft—all rights reversed |
|
|
|
|
10-17-2008, 10:18 PM
|
#1243 | |
|
Duke
Join Date: Jan 2007
Posts: 3,939
|
Quote:
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia "uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan |
|
|
|
|
|
10-17-2008, 10:22 PM
|
#1244 |
|
Marquis
Join Date: Oct 2006
Location: no se pudo establecar conexión con el servidor
Posts: 2,057
|
apt-cache show aide
Description: Advanced Intrusion Detection Environment - static binary AIDE is an intrusion detection system that detects changes to files on the local system. It creates a database from the regular expression rules that it finds from the config file. Once this database is initialized it can be used to verify the integrity of the files. It has several message digest algorithms (md5, sha1, rmd160, tiger, haval, etc.) that are used to check the integrity of the file. More algorithms can be added with relative ease. All of the usual file attributes can also be checked for inconsistencies. . This package contains the statically linked binary for "normal" systems. . You will almost certainly want to tweak the configuration file in /etc/aide/aide.conf or drop your own config snippets into /etc/aide/aide.conf.d. apt-cache show snort Snort is a libpcap-based packet sniffer/logger which can be used as a lightweight network intrusion detection system. It features rules based logging and can perform content searching/matching in addition to being used to detect a variety of other attacks and probes, such as buffer overflows, stealth port scans, CGI attacks, SMB probes, and much more. Snort has a real-time alerting capability, with alerts being sent to syslog, a separate "alert" file, or even to a Windows computer via Samba. . This package provides the plain-vanilla version of Snort and does not provide database (available in snort-pgsql and snort-mysql) support. Homepage: http://www.snort.org/ Ese snort es muy zarpado 
__________________
in theCopyleft—all rights reversed |
|
|
|
|
10-17-2008, 10:51 PM
|
#1245 |
|
Duke
Join Date: Nov 2006
Location: 0x00CAFE
Posts: 3,366
|
Según tengo entendido, AIDA debería ser utilizado con un honeypot.
__________________
I don't have a solution, but I admire the problem. |
|
|
|
|
10-17-2008, 10:54 PM
|
#1246 |
|
Marquis
Join Date: Oct 2006
Location: no se pudo establecar conexión con el servidor
Posts: 2,057
|
acabo de grabar un live-usb de e-live. ¿y cual es la cosa?, que en su momento lo consideré como una de mis opciones para instalarle a mi compactita, pero no encontré que mencionen algo (como que traiga drivers y esas cosas)
Hoy no se que se me dió por bajar uno y ahora lo puse en el pendrive, reinicio y una de las opciones del grub es: eee-pc... será que la formateo para ponerle este? 
__________________
in theCopyleft—all rights reversed |
|
|
|
|
10-18-2008, 04:28 AM
|
#1247 |
|
Duke
Join Date: Jan 2007
Posts: 3,939
|
snort lo conozco, pero lo que quiero no es solo un programa que registre las actividades en logs, lo que concretamente busco es uno que sea capaz de buscar comportamientos concretos y actuar, por ejemplo un escaneado de puertos, o tratar de meter un una comunicación nociva con fragmetación ip (así suelen saltearse algunos firewalls).
grax de todas formas :P aca el manual de snort: http://www.snort.org/docs/snort_htmanuals/htmanual_283/ nunca encontré que hiciese lo que busco. edit: shit! recien veo esto, por qué no lo había visto antes?: http://www.snort.org/docs/snort_htma...83/node72.html mañana le hecho un ojo, ya va siendo hora de ir a la cama
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia "uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan |
|
|
|
|
10-18-2008, 12:40 PM
|
#1248 | |
|
Marquis
Join Date: Oct 2006
Location: no se pudo establecar conexión con el servidor
Posts: 2,057
|
En realidad te conviene ser pro-activo (hacer las cosas antes que ocurran), te recomiendo nessus
Quote:
  Lo bueno es que en la mayoría de los casos te dice que tocar para arreglar 
__________________
in theCopyleft—all rights reversed |
|
|
|
|
|
10-18-2008, 01:27 PM
|
#1249 | |
|
Duke
Join Date: Jan 2007
Posts: 3,939
|
Quote:
los paquetes más peligrosos de ser explotados por alguna vulnerabilidad son cosas del kpdf  no necesito auditar! lo que quiero es detectar un patrón de ataque como un escaneo y que el equipo reaccione en consecuencia! :P
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia "uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan |
|
|
|
|
|
10-18-2008, 06:12 PM
|
#1250 |
|
Duke
Join Date: Jan 2007
Posts: 3,939
|
snort instalado y funcionando
 lo he puesto a funcionar junto con mysql y administrado bajo apache [1]. Muy útil porque ahora puedo ver las alertas por medio de la web. Lo que he hecho también es deshabilitar los logs que se generan en /var/log para que no se llene de basura. He tenido que personalizar la instalación porque por ejemplo me detectaba que mi explorador es un spyware por usar como agente megaupload . O reportaba también que el cliente de correo se intentaba conectar a un puerto no común por medio de TSL/SSL.Por lo demás funciona muy bien. Por ahora no me detecta mis propios escaneos de puertos, ni poniéndome como DMZ. Estoy contento con mi sistema iptables + snort, ahora me falta configurar correctamente apache y aprender a hacer mis propias reglas de snort [1]: He usado una mezcla entre estos dos manuales: http://www.snort.org/docs/setup_guid...-snort-0.2.txt http://www.snort.org/docs/setup_guid...re_spanish.pdf El segundo es de una sencillez extrema, y aunque pone que es para slackware vale para cualquiera. PD: porque carajo el apache no me solicita autentificación cuando le digo que lo haga por medio de un .htaccess? creo que el problema está en el httpd.conf, pero no se porque T.T
__________________
"Nunca un científico ha quemado a un religioso por afirmar a Dios sin pruebas". Manuel Toharia "uno empieza a darse cuenta que eso de no hacer ejercicio, comer y beber como si fuese la ultima cena y mantener la figura ya no existe...". Maryan |
|
|
|
 |
| Tags |
| linux, noticias |
| Thread Tools | |
| Display Modes | |
|
|
Linear Mode
