Obrigado a todos pela contribuição. Irei dar uma olhada no snort + ossec .
Saudações, Em 18 de março de 2010 12:01, Welkson Renny de Medeiros < welk...@focusautomacao.com.br> escreveu: > Patrick Tracanelli escreveu: > > Augusto Ferronato escreveu: > > > >> Dê um lida nesse material > >> > >> www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf > >> > >> Abs[] > >> > > > > Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem > > gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q > > ser tunado o iptraf pra evitar problemas, depois de tunado fica fino). > > > > > Usei Snort+OSSEC durante um bom tempo (no início do OSSEC ajudei a > portar as regras de firewall do Linux para FreeBSD... versão IPFW... > depois fizeram em PF... e melhoraram minhas regras em IPFW que não > usavam tables). > > Instalei também o BASE... ficou bem legal... > > No meu caso, tive muitos problemas com falsos alertas... o snort gerava > um log alertando um cabeçalho com tamanho grande por exemplo... o ossec > lia o log, e já chamava o active-response, que bloqueava o IP... o > problema é que em 90% dos casos não era ataque... acabava bloqueando > clientes e me dando uma enorme dor de cabeça =) > > Fui mexendo nos rules do snort, até que deixou de acontecer... depois > perdi o servidor (queimou), instalei o freebsd novo e não tive tempo de > voltar a brincar com Snort+OSSEC. > > Me diverti muito conectando em freebsd de amigos, e rodando NMAP no > meu... em poucos segundos a conexão caía (era bloqueada)... ou até mesmo > rodando um nikto no servidor web... é bem legal! > > -- > Welkson Renny de Medeiros > Desenvolvimento / Gerência de Redes > Focus Automação Comercial > FreeBSD Community Member > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
