Logauswertung
Hallo, möchte in einer Firma einen Debian-Router mit Firewall aufbauen. Debian wird minimal installiert und als Firewall habe ich Shorewall gewählt. Meine Logs möchte ich über Syslog-ng zusätzlich an einen Logserver schicken. Mein Problem mit welchem Tool werte ich die Logs auf Angriffe aus (z. b. Portscans) und maile Sie mir zu. Grüsse Andreas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Logauswertung (translation)
Hello, I'm at a company and would like to set up a Debian router/firewall. Debian is minimally installed and I've chosed Shorewall as the firewall. I would additionally like to send the logs over Syslog-ng to a log server. My problem is what tool do I use to evaluate the logs for attacks and to for mail notifications? Hallo, möchte in einer Firma einen Debian-Router mit Firewall aufbauen. Debian wird minimal installiert und als Firewall habe ich Shorewall gewählt. Meine Logs möchte ich über Syslog-ng zusätzlich an einen Logserver schicken. Mein Problem mit welchem Tool werte ich die Logs auf Angriffe aus (z. b. Portscans) und maile Sie mir zu. Grüsse Andreas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- .. Synthetic a-priori judgements should not be patentable .. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Logauswertung
Andreas [EMAIL PROTECTED] wrote: Mein Problem mit welchem Tool werte ich die Logs auf Angriffe aus (z. b. Portscans) und maile Sie mir zu. Ich weiss, die Frage wolltest du nicht hören, aber ich stelle sie doch mal: wozu? Ich wuerde die Logs zu Archivzwecken vorhalten. Einzelne geblockte Angriffe oder Portscans passieren so oft... Viel besser ist es counter zu monitoren um DOS Angriffe oder Fehlkonfiguration zu erkennen und wenn man Angst vor Intrusion hat intern ein paar Regeln aufzusetzen die Alarme ausloesen wenn deren Counter anspringen (ausgeende Verbindungen, Connection Versuche zu Domain Controllern...) Gruss Bernd -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
UsePAM in /etc/ssh/sshd_config and timing attacks
Dear all People have been complaining for too long that timings attacks are possible because of the way OpenSSH responds to keyboard-interactive authentication. With the variance in the delay of response, it makes it obvious whether the username it tries to authenticate indeed exists on the remote machine or not. A few days ago De Raadt sent an email to BUQTRAQ blaming this information leakage to PAM. So, one would expect that the directive UsePAM in the sshd configuration file would help one get around this issue. But although I have UsePam no, I still see the same behavior (variance in response time). Can this be resolved somehow? Cheers -A -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]