Monitorovani portu na routeru

[adam]

Ahoj.

Zalezi na tom co to mas za router. Pokud mas router udelany z FreeBSD ci Linux apod. staci kdyz si nainstalujes IDS (Intrusion detection system) snort (www.snort.org) na teze strance najdes SW guardian (mam dojem ze se tak jmenuje) a ten umi udelat nejaku akci kterou si dodefinujes (napriklad prida pravidlo do ipf ci ipfw/ipchains apod).

Pokud mas router (nejspise cisco)  pak jsou asi dve moznosti:
1.bud existuje prislusny ios/firmware do cisca (ci jineho routeru), ktery obsahuje IDS a umi take reagovatna utoky tzn. vyvola definovanou akci). Mam dojem ze v soucasnosti je CISCO IOS IDS ktery ma mit vlastnosti IDS, bohuzel nevim jak dalece tyto vlastnosi zachazeji (zda pouze detekuje nebo ci umi provest nejakou akci - rekl bych ze by mel umet udelat take nejakou akci)

2. Dalsi moznosti je predradit pred router FreeBSD+snort. Snort bude sledovat provoz jez bude smerovat na/za router a v pripade ze dojde k detekci utoku bude spusten script (nejlepe v expectu) jez se prihlasi po console kabelu na router a provede urcitou zmenu v konfiguraci access-listu, pripadne posle mail apod.


Musim upozornit ze v pripade ze je IDS nastaven tak aby automaticky reagoval na utoky zakazanim access-listu lze velice jednoduse provadet DoS utoky - IDS se donuti ruznymi utoky aby zakazal i to co nema :-(.


								Adam Gargulak


On Sat, Mar 09, 2002 at 11:40:30PM +0100, Tomas Podermanski wrote:
> Dobry den,
> 	nezna nekdo nahodou SW, ktery by dokazal na routeru detekovat scanovani
> portu nektere IP na siti a nasledne vyvolat nejakou akci (zablokovani IP
> atd.). Jde mi o neco ve stylu portsentry, ale aby to fungovalo na
> routeru.
> 
> T. Podermanski
>