Logcheck comme son nom l'indique sert à verifier les logs et portsentry permet de détecter les scans de ports et d'y réagir directement.
Après plusieurs mois d'absence, cette suite a fait sa réapparition sur le site de sourceforge avec en plus une modification de la licence:
- GPL pour logcheck
- CPL pour portsentry
Pour les accros de la sécurité, ce petit kit très léger puisqu'il ne pèse que quelques Ko, founit un moyen très efficace de se défendre contre le nombre croissant d'analyses de failles faites par les pirates toujours plus nombreux. En plus de détecter un scan, portsentry va «logger» l'attaquant, éventuellement le bloquer et même si le coeur vous en dit lui renvoyer une bandeau de mise en garde.
Aller plus loin
- Le projet sur Sourceforge (10 clics)
- Le rachat de Cisco (6 clics)
- La licence CPL (3 clics)
# Re: La suite Sentry de retour sous licence GPL/CPL
Posté par Emmanuel Blindauer (site web personnel) . Évalué à 0.
Bon en plus du first post:
CPL c'est Common Public Licence, pas Cisco Public Licence comme on pourrait penser.
[^] # Re: CPL
Posté par Amaury . Évalué à 8.
[1] http://www-106.ibm.com/developerworks/library/os-cplfaq.html(...)
[2] http://www.eclipse.org/(...)
[3] http://developer.kde.org/documentation/licensing/licenses_summary.h(...)
# Re: La suite Sentry de retour sous licence GPL/CPL
Posté par nojhan (site web personnel, Mastodon) . Évalué à 3.
Le début de l'insécurité sur TF^W^W LinuxFr ?
Plus sérieusement, a-t-on des chiffres/études/preuves/trolls sur cette affirmation ?
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par Matthieu Moy (site web personnel) . Évalué à 9.
J'ai un paquet droppé toutes les 10 secondes en moyenne, avec des IP source différentes. J'ai pas d'IDS pour savoir si c'est grave, mais je ne vois pas très bien ce que les gens pourraient vouloir faire sur ma machine à part l'attaquer ...
Il y a quelques années, je crois que c'était plutôt 10 par jour.
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par Ju. . Évalué à 3.
Perso chez moi c'est plutot de l'ordre de 10 par heure, enfin bon (pour ma machine perso @ home)
Note : la regle LOG c'est pas mal, mais essayez ULOG c'est vraiment bien, et mon logcheck, justement, ne remonte pas les paquets droppés, c'est FWlogwatch qui s'en charge.
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par shbrol . Évalué à 2.
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par Ju. . Évalué à -1.
Ca me paraissait un peu exagéré aussi...
;-)
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par passant·e . Évalué à 5.
pis de toute façon, les attaques sont à 99% lancées par des gamins donc le risque d'attaque réussie (si on suit les mises à jour) est faible...
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par h1d30 . Évalué à 7.
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par fasthm . Évalué à 8.
'résidus' de p2p. eg: ta nouvelle ip appartenait à une machine faisant
du p2p, donc tous les clients p2p qui se souviennent de cette adresse
viennent tenter de se connecter à ton poste.
ceci dit, effectivement, le nombre de scan sur des ports non p2p est
effectivement lui aussi non négligeable...
La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par M . Évalué à 0.
effectivement lui aussi non négligeable...
sauf que sur certain reseau les ports ne sont pas fixé, ainsi sur edonkey par exemple tu peut choisir le port de ton choix...
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par domi . Évalué à 6.
Quand je regarde les logs de mon firewall, la grande majorité des tentatives de connexion, elles concernent les ports utilisés par kazaa et autre machins de p2p.
Il suffit de se récupérer l'adresse IP de quelqu'un utilisant un de ces softs, et tous les gens qui étaient connectés précédemment à sa machine vont essayer d'y revenir pendant des heures !
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par h1d30 . Évalué à 6.
http://www.dshield.org/(...)
http://isc.incidents.org/(...)
http://www.cert.org/stats/(...)
+ ya de fou, + ça rigole
http://www.nua.com/surveys/how_many_online/(...)
http://www.intergov.org/public_information/general_information/late(...)
# Re: La suite Sentry de retour sous licence GPL/CPL
Posté par nodens . Évalué à 1.
plus exactement, il s'agit de détection de scan de ports. Ou alors ça a changé :)
# Re: La suite Sentry de retour sous licence GPL/CPL
Posté par Prae . Évalué à 1.
Moi, ca m'impressionnera toujours de voir que l'on peut s'emerveiller d'un simple script shell avec 4 pauvres blocs comprenant des deux pauvres grep et quelques if/elif.
Franchement, ca me fait relativiser sur certains projets ...
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par bmc . Évalué à 5.
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par ker4x . Évalué à 4.
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par Prae . Évalué à 4.
[^] # Re: La suite Sentry de retour sous licence GPL/CPL
Posté par thedidouille . Évalué à 1.
# Re: La suite Sentry de retour sous licence GPL/CPL
Posté par Rage . Évalué à 3.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.