O snort pode trabalhar somente com os logs de algumas aplicacoes como
apache, ou com logs do sistema (messages, etc) e com essas informacoes (como
erros de login via ssh) bloquear o usuario via ipfw... nesse caso voce pode
ficar sem o snort... mas acho uma seguranca muito basica... o snort e uma
boa selecao de rules gerando logs para o ossec ficaria mais profissional...
ainda poderia usar o BASE para analisar via navegador os possiveis ataques
detectados pelo snort (e consequentemente bloqueados pelo ossec+ipfw).
Abraço,
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
[EMAIL PROTECTED]
Powered by ....
(__)
\\\'',)
\/ \ ^
.\._/_)
www.FreeBSD.org
----- Original Message -----
From: "Rafael Busetti" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
<freebsd@fug.com.br>
Sent: Tuesday, March 27, 2007 4:22 PM
Subject: Re: [FUG-BR] OSSEC
Certo amigo, então eu precisaria do snort para trabalhar em conjunto
com o ossec e então gerar as regras no firewall?
Em 27/03/07, Welkson Renny de Medeiros<[EMAIL PROTECTED]>
escreveu:
> Oi Rafael,
>
>
> Eu usava a versão 0.9, funcionava direitinho, recentemente atualizei para
> 1.1, também fiquei na dúvida sobre o Active Response com IPFW, mas
> funfa...
> para testar fiz o seguinte, deixei o snort e o ossec ligado, conectei em
> um
> bsd de um outro cliente e rodei um nikto para testar falhas no meu
> servidor... depois de alguns testes executados o snort detectou uma
> tentativa de invasão, gerou o log no /var/log/snort/alert, o ossec leu e
> na
> mesma hora bloqueou o ip do cliente pelo ipfw (ele inclui o ip do atacante
> na table 1 - ipfw table 1 list)... funfou 100%... ele também inclui o ip
> no
> /etc/hosts.deny, mas eu retirei esse script, prefiro só no ipfw mesmo.
>
> Abraço,
>
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> [EMAIL PROTECTED]
>
>
>
> Powered by ....
>
> (__)
> \\\'',)
> \/ \ ^
> .\._/_)
>
> www.FreeBSD.org
>
>
>
> ----- Original Message -----
> From: "Rafael Busetti" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd@fug.com.br>
> Sent: Tuesday, March 27, 2007 3:58 PM
> Subject: [FUG-BR] OSSEC
>
>
> Boa tarde pessoal,
>
> To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o
> funcionamento dele ... ele envia email, consegui trabalhar com ele
> tranquilamente, porém em questão do Active-Responde eu não estou
> conseguindo fazer ele funcionar ... precisa fazer alguma configuração
> mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW
> são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar
> para especificar isso para o OSSEC ... como sei se está funcionadno
> está parte?
>
> OBrigado!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
