Ieri è stato rilasciato iptables 1.4.6 che corregge alcuni problemi delle precedenti versioni.
In questa versione è stato anche incluso il supporto userspace per il passive OS fingerprinting, OSF che potete trovare nella sottodirectory extensions/. Questo modulo vi consentirà di riconoscere in maniera passiva, elaborando quindi solo i pacchetti ricevuti, il sistema operativo della macchina dell’altra parte della connessione.
Le opzioni vi consentono di selezionare cosa inviare nel logo e come gestire il confronto del TTL. Potete scaricare i fingerprint da http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os.
I pregi di netfilter/iptables sono, fino a prova contraria, riconosciuti ed apprezzati anche da chi, dotato di un minimo di conoscenze a riguardo, non è molto vicino all’universo Linux. Nonostante tutto, può rivelarsi utile affiancare altri strumenti in grado di estenderne le potenzialità: non a caso, parliamo di Port Scan Attack Detector.
Si tratta di un set costituito da 3 demoni, il cui scopo è di analizzare i log di iptables e rilevare, laddove vi fossero, eventuali port scan e, in genere, ogni traccia di traffico sospetto.
Fra le feature in dotazione, si distinguono: l’inclusione di molte firme presenti nell’IDS di Snort, il riconoscimento di svariati tipi di scansioni (TCP SYN, FIN, NULL, XMAS e UDP scan), OS fingerprinting passivo (avvalendosi dello stesso algoritmo usato da p0f), log dettagliati (inviabili anche via e-mail), rapporti DShield ed il blocco automatico degli IP considerati come origine degli attacchi.
Continua a leggere: PSAD: protezione aggiuntiva, al fianco di iptables
Seguici
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
