Détecter les scans de port ?

EvilAngel · 30/03/2007, 18h45

Salut à tous,

j'administre des serveurs Linux disposant d'une adresse publique.
Je souhaiterais pourvoir détecter les scans de ports lancés depuis Internet.

J'ai essayé scanlogd que je ne trouve pas performant.
J'ai par ailleurs essayé PortSentry qui lui me génère des faux positifs.

Vous avez une autre idée ?

J'ai pensé à Snort en dernier recour..

MarcG · 02/04/2007, 10h05

Quel que soit l'outils utiliser le risque de faux positifs est tres important, pour les rendre moins fréquent c'est un gros travail de parametrage.
snort a une bonne reputation, mais n'empeche pas les faux positifs.

Dans ce domaine rien à ce jour ne remplace completement l'oeil de l'administrateur.

EvilAngel · 02/04/2007, 10h10

Je suis tout a fait d'accord avec toi, rien ne remplace l'oeil de l'amdinistrateur.

Mais tu as besoin de bons outils pour bien travailler.
Snort est installé depuis 48H et configuré.
Pas mal de scans.

Ceci-dit difficile de savoir s'il s'agit de faux positifs...

_solo · 04/04/2007, 13h55

Citation:

Ceci-dit difficile de savoir s'il s'agit de faux positifs...

je me fait scanner une centaine de fois par jour voir pendant les vacances ca monte au millier de scan a un moment faut faire du menage et faire du suivi de paquets reseaux parce qu'un scan en lui meme n'est pas dangereux , sauf qu'il genere du traffic reseaux en plus et surtout , surtout du travail en plus

note t'as penser a configurer snort uniqument our ce que tu possede au moins ( sert a rien de garder une regle iis si ont en as pas ). juste au cas ou

EvilAngel · 04/04/2007, 14h04

J'ai configuré Snort pour limiter la surveillance aux services qui tournent uniquement sur les serveurs.

J'aime pouvoir détecter les scans car ca me permet dans certains cas de "reconstituer" l'histoire: le bruteforce SSH a-t-il été précédé d'un scan ? Les accès FTP sont-ils anonymes réellement ou des visites de reconnaissance appuyés de scan ? ...

_solo · 04/04/2007, 14h16

Citation:

le bruteforce SSH a-t-il été précédé d'un scan ?

commence alors a renforcer tes services par fail2ban ou sshblack et limiter le nombre de tentaive ftp etc... tu verras tu passeras de plusieurs centaine de Mo a +- 1 a 3 Mo , mais snort a quand meme quelques lacune , difficulte de faire de la correlation dans le temps ex genre une ip qui lance un scan et scan un service toute les 50 min pour rester furtif.

EvilAngel · 04/04/2007, 14h28

J'ai mis fail2ban pour éviter les attaques interminables par dictionnaire.
D'ailleurs ces attaques correspondent à des attaques lancées depuis des zombis, non ?

_solo · 04/04/2007, 17h59

Citation:

D'ailleurs ces attaques correspondent à des attaques lancées depuis des zombis, non ?

hmm pas toujour le net est peupler de tellement de script kiddies et en plus tout le monde croit a l'anonymat sur internet

30/03/2007, 18h45	#1
EvilAngel Membre régulier Inscription : avril 2004 Messages : 236 Détails du profil Informations forums : Inscription : avril 2004 Messages : 236 Points : 74 Points : 74	Détecter les scans de port ? Salut à tous, j'administre des serveurs Linux disposant d'une adresse publique. Je souhaiterais pourvoir détecter les scans de ports lancés depuis Internet. J'ai essayé scanlogd que je ne trouve pas performant. J'ai par ailleurs essayé PortSentry qui lui me génère des faux positifs. Vous avez une autre idée ? J'ai pensé à Snort en dernier recour..
	00

02/04/2007, 10h05	#2
MarcG Rédacteur Inscription : mars 2004 Messages : 1 298 Détails du profil Informations forums : Inscription : mars 2004 Messages : 1 298 Points : 1 450 Points : 1 450	Quel que soit l'outils utiliser le risque de faux positifs est tres important, pour les rendre moins fréquent c'est un gros travail de parametrage. snort a une bonne reputation, mais n'empeche pas les faux positifs. Dans ce domaine rien à ce jour ne remplace completement l'oeil de l'administrateur. __________________ Marc Slackware for ever ...... BASH - KSH ( http://marcg.developpez.com/ksh/ )
	00

02/04/2007, 10h10	#3
EvilAngel Membre régulier Inscription : avril 2004 Messages : 236 Détails du profil Informations forums : Inscription : avril 2004 Messages : 236 Points : 74 Points : 74	Je suis tout a fait d'accord avec toi, rien ne remplace l'oeil de l'amdinistrateur. Mais tu as besoin de bons outils pour bien travailler. Snort est installé depuis 48H et configuré. Pas mal de scans. Ceci-dit difficile de savoir s'il s'agit de faux positifs...
	00

04/04/2007, 14h04	#5
EvilAngel Membre régulier Inscription : avril 2004 Messages : 236 Détails du profil Informations forums : Inscription : avril 2004 Messages : 236 Points : 74 Points : 74	J'ai configuré Snort pour limiter la surveillance aux services qui tournent uniquement sur les serveurs. J'aime pouvoir détecter les scans car ca me permet dans certains cas de "reconstituer" l'histoire: le bruteforce SSH a-t-il été précédé d'un scan ? Les accès FTP sont-ils anonymes réellement ou des visites de reconnaissance appuyés de scan ? ...
	00

04/04/2007, 14h28	#7
EvilAngel Membre régulier Inscription : avril 2004 Messages : 236 Détails du profil Informations forums : Inscription : avril 2004 Messages : 236 Points : 74 Points : 74	J'ai mis fail2ban pour éviter les attaques interminables par dictionnaire. D'ailleurs ces attaques correspondent à des attaques lancées depuis des zombis, non ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email