Alternative zu psad?

[djrick]

Hallo,

Ich nutze psad um meinen Server vor DDos und Portscans zu schützen bzw. als Früh-Warn-System.

Allerdings bin ich mit diesem Tool nicht so ganz glücklich:
Damit es arbeitet müssen via iptables alle Packete mitgeloggt werden. Das produziert eine ziemlich große Logfile, was gleichzeitig ziemlich auf die Systemresourcen schlägt. Deswegen bin ich mit dieser Lösung nicht ganz so glücklich.
Kennt jemand eine andere Möglichkeit psad zu konfigurieren oder gibt es eine bessere Alternative?

Was die Alternative können muss:
- Netzwerk überwachen
- Alarm per Email falls etwas "aufälliges" passiert

Wünschenswert:
- Direktmaßnahmen wie Block via iptables oder ähnliches

 

[LinuxNetBox]

Vielleicht hilft dir das weiter:

IDABench - Tools for Intrusion Analysis
PreludeIDS: Prelude Components
Bro Intrusion Detection System - Bro Overview
http://www.forinsect.de/ids/ids-tools.html

gruß

 

[usm]

MOD: Fullquote entfernt!

Ich benutze ein selbstgeschriebenes Tool namens "ipband".
Es kann nach Logfiles scannen (optimal) und Regex-Vergleich durchführen,
und wenn der Regex-Vergleich passt dann kann es eine iptables-Regel
absetzen um die betreffende IP für eine selbstdefinerte Dauer zu DROPpen oder REJECTen.

Es ist seit mehreren Monaten auf Debian 4 und 5 Erfolgreich im Einsatz.
Falls du auch Debian benutzt könnte ich dir eine Binary-Version geben zum Testen.
Da ich der Programmierer dieses Tools bin kann man auch schnell Zusätze und Änderungswünsche einbauen wenn sie nützlich und sinnvoll sind.
Es ist in C++ geschrieben und hat einen minimalen Speicherverbrauch.
Es hat eine conf-Datei um die zu überwachenden Logfiles zu definieren mitsamt den Regex-Strings usw.
Mit tail -f /var/log/ipband.log kann man seine Aktionen auch mitverfolgen.

D.h. für ipband brauchst du in iptables nur die Events loggen die zu einem Banning führen sollen,
brauchst also nicht alles loggen.
Man kann so jede Logdatei (muss natürlich im text-Format sein) nehmen.
Es kann Logfiles nur Zeilenweise analysieren (also nicht wenn ein LogEintrag auf mehrere Zeilen verteilt ist).

"Alarm per Email" ist noch nicht möglich, kann ich aber hinzuprogrammieren.

 

[Firewire2002]

usm, was ist der wesentliche Unterschied (und Vorteil) deines Tools gegenüber etablierten Tools wie Fail2Ban?

 

[IngoH]

usm, was ist der wesentliche Unterschied (und Vorteil) deines Tools gegenüber etablierten Tools wie Fail2Ban?

Ich würde sagen: Es ist in C++ geschrieben, nicht wie Fail2Ban in Python.

 

[Firewire2002]

Da usm gesperrt ist, wird er sich so schnell nicht dazu äussern können.
C++ allein sehe ich allerdings nicht als Vorteil.

Aber warten wir ab bis die Sperrung aufgehoben wird und usm sich selbst dazu äussern möchte.
Spekulationen bringen uns an dieser Stelle nicht weiter.

Nur damit es hier nicht zu Missverständnissen kommt: Es gibt im übrigen ein Tool unter gleichem Namen, dass ein bisschen was anderes macht, als Log Files auszuwerten: IP Bandwidth Watchdog