| [ CnUnix ] in KIDS 글 쓴 이(By): ymir (Mizz) 날 짜 (Date): 2004년 1월 19일 월요일 오전 09시 08분 09초 제 목(Title): Re: [Q] fwsnort, pasd 문의 두개를 함께 써보진 않았었고.. snort & iptables .. snort 에서 악의적인 ip 를 자동으로 block lists 에 추가 하는 정도.. 그리고.. psad & iptables & database 연동.. 해서.. 포트 스캐닝 DB 구축.. 정도에 썼었습니다... (iptables 가 설치된 서버에.. xml 생성 기능이 추가된 psad 를 설치하여.. 포트 스캐닝 디텍션 로그만 원격 DB 서버에 저장하는 형태...) snort 를 써본지 조금 오래되서.. 포토 스캔 디텍션 기능이 추가 되었는지 모르겠습니다만.. 굳이 psad 를 연동시킬 필요는 없다고 보여집니다. psad 자체가.. iptables 나 ipchain 이 뽑아주는 로그를 분석해서.. (iptables, ipchain 에서 포트 접속에 대한 로그를 남겨줘야 합니다.) 포트 스캐닝 여부, 트로얀 포트 억세스 여부.. 등을 찍어주는 것이라.. 어느정도 snort 와 유사한 기능을 합니다만.. 성능이나 기능면에선 snort 에 미치지 못한다고 생각됩니다. 만약 snort 에 포트 스캐닝 디텍션 기능이 없다면... 어느 정도 보완적인 역할을 기대할 수도 있겠습니다만.. 방화벽 세팅 및 로그 처리가 조금 번잡할 수 있고... 그 외에는 처리 방식은 다를지라도 대부분 중복되는 항목이라... 제 생각에는... 그다지 효율적일 것 같지는 않습니다.. snort 에 tcplogd 나 rtsd 정도의 포트 스캔 디텍션 프로그램을.. 설치하는게 낫지 않을까 생각됩니다.. ( ps - 대략 2-3년 전의 기억을 더듬어서 썼기 때문에.. 부정확한 부분이 있을 수도 있습니다. ) Oh, I do believe everlasting love and destiny to meet you again I feel a pain I can hardly stand all I can do is loving you - *Mizz* the Magic Knight! |