hallo zusammen!
kennt jemand ein ids, dass bei erkannten angriffen nicht nur log-files erstellt?
ich möchte zb. nach einem portscan ein script starten, das per iptables jeden traffic von/zu der angreifenden ip-adresse blockt.

Das kann z.B. Snort-inline...

Schau doch mal in die Linkliste - ist der erste Topic hier im Unterforum...

mfg
cane

Hallo!

Da dürfte dieses IPS (http://snort-inline.sourceforge.net/) genau das richtige sein.

MfG

[sONAr]

Nachtrag: Man sollte doch mal ab und an auf den Refreshbutton vom Browser klicken. :-)

also das "normale" snort kann das nicht?

Ich behaupte mal nein - Snort an sich ist ja ein Intrusion Detection System (IDS) und kein Intrusion Prevention System (IPS)...

mfg
cane

vielen dank euch beiden! snort_inline sieht gut aus.
ich bin aber leider nicht im stande ein anständiges tutorial zu finden :ugly: auf der offiziellen seite gibt es nur eine magere FAQ und ein HOWTO, das down ist.
kann snort_inline als antwort auf angriff shell-scripte starten oder nur per iptables traffic blocken?
habt ihr links zu guten tutorials?

Meine Bookmarks haben nichts dazu...

Würde mich aber freuen wenn Du eventuell gefundene Links hier postest :)

mfg
cane

Meine Bookmarks haben nichts dazu...

Würde mich aber freuen wenn Du eventuell gefundene Links hier postest :)

mfg
cane

kein problem :-) ist aber nicht wirklich viel:
in der C'T 22 scheint ein artikel zu sein [klick] (http://193.99.144.71/ct/04/22/006/)
it-acadamy (unter datenkontrolle gucken) (www.it-academy.cc/mobile/content/article.php?ArticleID=986)
buch: Intrusion Detection und Prevention mit Snort 2 & Co (http://www.terrashop.de/82732134A/artikel.php)

snort_inline scheint es noch nicht lange zu geben. die haben genau gar nichts an dokus auf ihrer seite.