DSL traffic

Panagiotis Atmatzidis p.atmatzidis at gmail.com
Fri Apr 28 01:50:04 EEST 2006 

Pistiolis Konstantinos wrote:
> Γεια σε όλους,
[...]
> Σοβαρά τώρα, είναι φυσιολογικό αυτό;
> Αν έχει τόσα σκουπίδια δεν έχει νόημα να γίνονται log όλα τα κομμένα πακέτα
> του firewall. Και σίγουρα δεν θα πρέπει να τα πετάει όλα αυτά στην κονσόλα.
> 
> Τι κάνουμε σε τέτοιες περιπτώσεις; μπορώ να κάνω log ξεχωριστά αυτά που
> κόβει το firewall, ώστε να μη γεμίζει το syslog άχρηστη πληροφορία;

Καλησπέρα Κώστα,

Το τι θα κάνεις εξαρτάται από το policy που έχεις για το εκάστοτε host. 
Στην περίπτωση αυτή ιδανική λύση θα ήταν ένα logwatch[1] ή κάτι ανάλογο, 
υπάρχουν πολλά προγράμματα ανάλογα. Επίσης δεν ξέρω πως κάνει το logging 
το firewall σου αλλά υπάρχει το ipt_ULOG[2] για userspace logging & 
analyzing. Το θέμα είναι τι δουλειά πρέπει να κάνει το firewall. Αν 
θέλεις απλός να ρυθμίζει το routing και να μην έχει σχέσει με αναφορές, 
τότε χρησιμοποίησε το snort [3] το οποίο με τα filters που παρέχει το 
website (αφού κάνεις register) κάνει αρκετά καλή δουλειά, χωρίς να είναι 
100% ακριβές.. από όσο είχα διαβάσει σε reviews όμως είναι accurate στο 
75-80% των alerts. Ένα δείγμα από το alert αρχείου το snort:

[**] [1:525:9] BAD-TRAFFIC udp port 0 traffic [**]
[Classification: Misc activity] [Priority: 3]
04/28-05:10:16.246881 [ip] :0 -> [myip]:1026
UDP TTL:51 TOS:0x38 ID:5713 IpLen:20 DgmLen:343
Len: 315
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10074][Xref => 
http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0675][Xref => 
http://www.securityfocus.com/bid/576]

Έχε υπ'όψειν ότι το snort φιλτράρει και scannar-ει μόνο ότι περνάει από 
το firewall.. στα open ports. Οπότε δεν είναι 100% ασφαλές στις αναφορές 
του. Δηλαδή αν κάποιος scannari σε συγκεκριμένα ports δεν θα το μάθεις 
ποτέ, σίγουρα όμως σε ενδιαφέρει λιγότερο από κάποιον που στέλνει 
αμφιβόλου προελεύσεως πακέτα σε ένα open service.



[1] http://www.logwatch.org/

[2]
Linux ~ # modinfo ipt_ULOG
filename:       /lib/modules/2.6.15.1/kernel/net/ipv4/netfilter/ipt_ULOG.ko
license:        GPL
author:         Harald Welte <laforge at gnumonks.org>
description:    iptables userspace logging module
[...]


[3] http://www.snort.org

More information about the Linux-greek-users mailing list