Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 900 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL Option for next version.

Inverter
An option to have a portsentry applied to the next version of ASL.  I've been running Portsentry for years now and I think this would be an excellent option for ASL.

What do other people think about Portsentry?

Information on portsentry below:

Portsentry provides host-level security. PortSentry  protects against portscans and depending on portsentry config you can block the remote portscan machine or create action against it.

I've noticed ASL reports portscans but can it automate the process.  It can with Portsentry.  

P.S.  I've used Clarkconnect, Securepoint, IPCop, Linux defaults, and a few others and by far ASL is the best I've ever used.   Nice job !


This thread was automatically locked due to age.
Parents
  • 0
    my vote would be not to have portsentry but use snortsam instead.

    this way you could ban ip's on any traffic type you like rather than just portscans. snortsam also has better ip management for things like rollback etc
  • 0 in reply to PenTest
    I'll have to try snortsam.  Sounds pretty cool.

    [ QUOTE ]
    my vote would be not to have portsentry but use snortsam instead.

    this way you could ban ip's on any traffic type you like rather than just portscans. snortsam also has better ip management for things like rollback etc 

    [/ QUOTE ]
Reply
  • 0 in reply to PenTest
    I'll have to try snortsam.  Sounds pretty cool.

    [ QUOTE ]
    my vote would be not to have portsentry but use snortsam instead.

    this way you could ban ip's on any traffic type you like rather than just portscans. snortsam also has better ip management for things like rollback etc 

    [/ QUOTE ]
Children
  • 0 in reply to Inverter
    it is a fantastic project. The webpage is not that reliable so I ill copy the basic features heres

    From www.snortsam.net

    "snortSam itself consists of two pieces -- the output plugin within Snort and an intelligent agent that runs on the firewall, or a host near the firewall. The agent provides a variety of capabilities that go beyond other automated blocking mechanisms, such as: 
    White-list support of IP addresses that will never be blocked.
     
    Time-override list. 

    Flexible, per rule blocking specification, including rule dependent blocking time interval. 

    Misuse/Attack detection engine (including roll-back support) that attempts to mitigate the risk of a self-inflicted Denial-Of-Service in the IDS-Firewall integration. 

    Repetitive (same IP) block prevention with customizable window to improve performance. 

    TwoFish encrypted communication between Snort and the SnortSam agent. 

    True OPSEC support using the Checkpoint SDK (opsec plugin). 
    Block tracking and block expiration for firewalls that don't support timeouts. 

    Multi-threading for faster processing and simultaneous block on multiple devices. 

    File logging and email notification of events. 

    ... and finally, using the client/server (snort/snortsam) architecture to build large, distributed response networks in a very scalable fashion."
  • 0 in reply to PenTest
    In simple terms...

    this would give you an option in the IDS to drop an offending IP address for as long as you want based on a single trap. So rather than only dropping the packets the IDS recognises as offending from the attacker it will completely lock them out reducing the load on the IDS and increasing security.

    There are downsides in so far that it becomes something else you have to check if you have a problem but for me at least it is an excellent tool