valeu rapaz.. qualquer coisa vou buzinar ai na tua porta..
Em 21/02/08, Welkson Renny de Medeiros<[EMAIL PROTECTED]> escreveu: > Márcio, > > Os scripts já vem na instalação do OSSEC (para vários firewalls), veja: > > [EMAIL PROTECTED]:/var/ossec/active-response/bin] # pwd > /var/ossec/active-response/bin > > [EMAIL PROTECTED]:/var/ossec/active-response/bin] # ls > default-firewall-drop.sh* firewall-drop.sh* ipfw.sh* pf.sh* > disable-account.sh* host-deny.sh* ipfw_mac.sh* route-null.sh* > > É só copiar o pf.sh por cima do firewall-drop.sh... que é o script usado por > padrão no ossec... ou alterar o parâmetro firewall-drop no ossec.conf > (/var/ossec/etc) > > Fora o firewall, o ossec também bloqueia via arquivo hosts.deny... eu não > gostei disso e comentei o script... prefiro usar o bloqueio só pelo firewall > mesmo. > > Abraço, > > > > -- > > Welkson Renny de Medeiros > Focus Automação Comercial > Desenvolvimento / Gerência de Redes > [EMAIL PROTECTED] > > > > Powered by .... > > (__) > \\\'',) > \/ \ ^ > .\._/_) > > www.FreeBSD.org > > ----- Original Message ----- > From: "mantunes" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > <freebsd@fug.com.br> > > Sent: Thursday, February 21, 2008 2:50 PM > Subject: Re: [FUG-BR] RES: Filtro L7 > > > Welkson > > vc pode me passar esse script.. tenho interesse de implementar essa solução. > > agradeço muito.. > > obrigado > > Em 21/02/08, Welkson Renny de Medeiros<[EMAIL PROTECTED]> > escreveu: > > Bom tarde Márcio! > > > > > > Do snort_inline não posso comentar, nunca usei... sobre o firewall, eu já > > havia migrado todas as regras de bloqueio para o pf, deixei o ipfw > > exclusivamente para controle de banda... com isso senti necessidade de > > também migrar o ossec para pf... o Daniel Cid (ossec) já havia escrito o > > shell script com regras para pf, testei e está funcionando muito bem... > > por > > dia geralmente são bloqueados +- uns 300 ips... > > > > Agora pouco reiniciei a máquina, olha só quantos ips já foram bloqueados: > > > > [EMAIL PROTECTED]:~] # mostra-bloqueados > > IPs bloqueados: 32 > > > > [EMAIL PROTECTED]:~] # cat /bin/mostra-bloqueados > > printf "IPs bloqueados: $(pfctl -t ossec -T show | wc -l) \n\n" > > > > Para acompanhar os bloqueios eu uso o BASE + PostgreSQL. > > > > É isso, abraço!!! > > > > > > > > -- > > > > Welkson Renny de Medeiros > > Focus Automação Comercial > > Desenvolvimento / Gerência de Redes > > [EMAIL PROTECTED] > > > > > > > > Powered by .... > > > > (__) > > \\\'',) > > \/ \ ^ > > .\._/_) > > > > www.FreeBSD.org > > > > ----- Original Message ----- > > From: "mantunes" <[EMAIL PROTECTED]> > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > <freebsd@fug.com.br> > > > > Sent: Thursday, February 21, 2008 11:26 AM > > Subject: Re: [FUG-BR] RES: Filtro L7 > > > > > > Waelkson, > > > > vc notou alguma diferença entre a mudaça do ossec de ipfw para pf ? o > > snort_inline tambem pode ser usado um pf ?? > > > > > > > > Em 21/02/08, Welkson Renny de Medeiros<[EMAIL PROTECTED]> > > escreveu: > > > Bom dia Tiago! > > > > > > > > > Será o "artigo do ano" rsrsrs... > > > > > > snort_inline nunca usei... uso o ossec... mas não trato p2p... só > > outros > > > tipos de ataque (web, sql, etc)... usava o ossec integrado ao ipfw, > > agora > > > estou usando com pf. > > > > > > > > > > > > -- > > > Welkson Renny de Medeiros > > > Focus Automação Comercial > > > Desenvolvimento / Gerência de Redes > > > [EMAIL PROTECTED] > > > > > > > > > > > > Powered by .... > > > > > > (__) > > > \\\'',) > > > \/ \ ^ > > > .\._/_) > > > > > > www.FreeBSD.org > > > > > > > > > ----- Original Message ----- > > > From: "mantunes" <[EMAIL PROTECTED]> > > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > > <freebsd@fug.com.br> > > > > > > Sent: Thursday, February 21, 2008 10:25 AM > > > Subject: Re: [FUG-BR] RES: Filtro L7 > > > > > > > > > > > > isso tiago, será de grande utilidade essa solução para lista. > > > > > > Estamos esperando. > > > > > > Em 21/02/08, Tiago Isic Brasil<[EMAIL PROTECTED]> escreveu: > > > > Bom dia! > > > > > > > > Lista, seguinte com a ajuda do sr. Patrick consegui jogar o trafego > > > > identificado como p2p pelo snort_inline para as regras do ipfw. > > Valeu > > > > Patrick, agora vou começar a customizar as rules do snort para ver > > se > > > > pego mais do que o Emule no trafego. > > > > > > > > > > > > Prometo montar um tutorial descrevendo o processo de bloqueio do > > p2p > > > via > > > > ipfw com snort_inline. > > > > > > > > > > > > att > > > > Tiago ISIC Brasil > > > > > > > > > > > > > > > > > > > > > > > > Em Qua, 2008-02-20 às 17:49 -0300, Patrick Tracanelli escreveu: > > > > > > > > > Seguinte, numa olhada rapida esta tudo OK entao vamos direto a > > causa > > > > > mais provavel, as regras > > > > > > > > > > include $RULE_PATH/p2p.rules > > > > > include $RULE_PATH/bleeding-p2p.rules > > > > > > > > > > Estao modificadas pra ter a ação reinject? > > > > > > > > > > Por exemlo, minhas regras de filtro do eDonkey/eMule da vida: > > > > > > > > > > reinject tcp $EXTERNAL_NET 1024:65535 -> $HOME_NET 4660:4799 > > > > > (msg:"FBSDBR P2P Edonkey Server Status"; flow:established; > > dsize:14; > > > > > content:"|e3 09 00 00 00 34|"; depth:6; > > classtype:policy-violation; > > > > > > > reference:url,www.giac.org/certified_professionals/practicals/gcih > > > > > > > > > > /0446.php; sid:3003324; rev:1;) > > > > > > > > > > Note o reinject no inicio da regra. > > > > > > > > > > Faca um sed pra trocar de todas as suas regras. > > > > > > > > > > > > > > > > > > > > Tiago Isic Brasil escreveu: > > > > > > Boa tarde! > > > > > > > > > > > > Sr. Patrick, estou testando o snort_inline + ipfw como descrito > > no > > > > seu > > > > > > email de resposta a lista referente ao bloqueio do P2P , só que > > > não > > > > > > estou tendo muito sucesso. > > > > > > > > > > > > Eu queria só que você checasse onde pode estar errado e me dar > > um > > > > toque > > > > > > no que pode-se ser realizado. > > > > > > Quando concluir os testes poderei descrever para a lista o > > > processo > > > > da > > > > > > instalação e configuração dos arquivos. > > > > > > > > > > > > Abaixo está minhas regras de firewall > > > > > > > > > > > > > > > > > > Lembrando que está sendo realizado NAT com natd > > > > > > > > > > > > ####################################################################### > > > > > > cmd="ipfw -q add" > > > > > > > > > > > > #Interfaces de rede > > > > > > int1="xl0" > > > > > > ext1="fxp0" > > > > > > skip="skipto 900" > > > > > > network1="192.168.90.0/24" > > > > > > > > > > > > #Libera trafego de qualquer lugar para lo0 > > > > > > $cmd 11 allow ip from any to any via lo0 > > > > > > > > > > > > #Bloqueia trafego de qualquer lugar para 127.0.0.0/8 > > > > > > $cmd 12 deny ip from any to 127.0.0.0/8 > > > > > > > > > > > > #Bloqueia trafego de 127.0.0.0/8 para qualqier lugar > > > > > > $cmd 13 deny ip from 127.0.0.0/8 to any > > > > > > > > > > > > #Aqui está a regra pelo que entendi no email do Patrick, que é > > > > enviar > > > > > > tudo que esteja tagged 30 para a regra de nr. 65500 > > > > > > $cmd 14 skipto 65500 log all from any to any tagged 30 > > > > > > > > > > > > #Libera o serviço SSH > > > > > > $cmd 16 allow tcp from any to me 22 in via $ext1 > > > > > > > > > > > > #Conexoes já estabilizadas vao para a regra de divert > > > > > > $cmd 103 $skip tcp from any to any established > > > > > > > > > > > > #Aqui está a minha duvida. A regra 900 recebe o trafego, blz, > > mas > > > se > > > > eu > > > > > > omitir ela e apenas usar a regra nr 901 não funciona nada. > > > > > > #Quando inicio o snort ele abre o socket divert na porta 8000 > > > > > > $cmd 900 divert 8668 log ip4 from any to any > > > > > > $cmd 901 divert 8000 log all from any to any > > > > > > > > > > > > #Permite trafego de qualquer lugar para qualquer lugar. > > > > > > $cmd 1000 allow log ip from any to any > > > > > > > > > > > > > > > > > > #Como descrito no email do Patrick, o que for identificado pelo > > > > > > snort_inline, vai para a regra 65500 > > > > > > $cmd 65499 deny log all from any to any > > > > > > $cmd 65500 count tag 30 log all from any to any keep-state > > > > > > > > > > > > #Bloqueia qualquer trafego de qualquer lugar > > > > > > $cmd 65534 deny log ip from any to any > > > > > > > > > > > > > > > ######################################################################## > > > > > > > > > > > > > > > > > > Meu snort_inline.conf > > > > > > > > > > > > ####################################################################### > > > > > > > > > > > > #Redes > > > > > > > > > > > > var HOME_NET [192.168.90.0/24] > > > > > > > > > > > > var HONEYNET any > > > > > > var EXTERNAL_NET any > > > > > > var SMTP_SERVERS any > > > > > > var TELNET_SERVERS any > > > > > > var HTTP_SERVERS any > > > > > > var SQL_SERVERS any > > > > > > var HTTP_PORTS 80 > > > > > > var SHELLCODE_PORTS !80 > > > > > > var DNS_SERVERS any > > > > > > > > > > > > #Manda para o ipfw > > > > > > > > > > > > config ipfw_reinject_rule: 65500 > > > > > > > > > > > > var RULE_PATH /usr/local/share/snort_inline/rules > > > > > > > > > > > > preprocessor flow: stats_interval 0 hash 2 > > > > > > output alert_fast: inline_fast > > > > > > > > > > > > include /usr/local/share/snort_inline/classification.config > > > > > > include /usr/local/share/snort_inline/reference.config > > > > > > > > > > > > > > > > > > include $RULE_PATH/p2p.rules > > > > > > include $RULE_PATH/bleeding-p2p.rules > > > > > > > > > > > > > > > > > > > > > > ############################################################################### > > > > > > > > > > > > O que está acontencendo é o seguinte, no log do snort apareceu > > a > > > > > > identificaçao do trafego dos testes que realizei com os > > programas > > > > mais > > > > > > conhecidos como Emule,DreMule. > > > > > > Mas nada foi enviado para a regra: > > > > > > > > > > > > #ipfw show > > > > > > > > > > > > 00011 0 0 allow ip from any to any via lo0 > > > > > > 00012 0 0 deny ip from any to 127.0.0.0/8 > > > > > > 00013 0 0 deny ip from 127.0.0.0/8 to any > > > > > > 00014 0 0 skipto 65500 log logamount 100 ip from any > > to > > > any > > > > > > tagged 30 > > > > > > 00020 2 156 allow icmp from any to any > > > > > > 00103 4772 2137400 skipto 900 tcp from any to any established > > > > > > 00900 5622 2237029 divert 8668 log logamount 100 ip4 from any > > to > > > any > > > > > > 00901 5622 2237029 divert 8000 log logamount 100 ip from any to > > > any > > > > > > 01000 5622 2237029 allow log logamount 100 ip from any to any > > > > > > 65499 0 0 deny log logamount 100 ip from any to any > > > > > > 65500 0 0 count log logamount 100 tag 30 ip from any > > to > > > any > > > > > > keep-state > > > > > > 65534 0 0 deny log logamount 100 ip from any to any > > > > > > 65535 0 0 deny ip from any to any > > > > > > > > > > > > Bom queria uma orientação no que posso fazer. > > > > > > > > > > > > Desde já agradeço > > > > > > > > > > > > Tiago ISIC Brasil > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > ------------------------- > > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > > > > > > > > > ------------------------- > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > > > > -- > > > Marcio Antunes > > > Powered by FreeBSD > > > ================================== > > > * Windows: "Where do you want to go tomorrow?" > > > * Linux: "Where do you want to go today?" > > > * FreeBSD: "Are you, guys, comming or what?" > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > -- > > Marcio Antunes > > Powered by FreeBSD > > ================================== > > * Windows: "Where do you want to go tomorrow?" > > * Linux: "Where do you want to go today?" > > * FreeBSD: "Are you, guys, comming or what?" > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Marcio Antunes > Powered by FreeBSD > ================================== > * Windows: "Where do you want to go tomorrow?" > * Linux: "Where do you want to go today?" > * FreeBSD: "Are you, guys, comming or what?" > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Marcio Antunes Powered by FreeBSD ================================== * Windows: "Where do you want to go tomorrow?" * Linux: "Where do you want to go today?" * FreeBSD: "Are you, guys, comming or what?" ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
