Bom dia!
Cara testei esse snortlog2cmd, mas como o snort_inline é preciso que ele
saiba que trafego bloquear. O snortlog2cmd bloqueia as portas que
iniciaram um trafego referente a protocolos p2p. Mas ele pode bloquear
aplicaçoes que nao tem nada haver.
No meu caso optei pelo snort_inline, mas me
Neerlan Amorim escreveu:
> Encontrei um material muito bom sobre filtro l7 em:
> http://www.karczmarski.com/snortlog2cmd.html
>
> Estou implantando em um ambiente de testes, vamos ver como fica.
> Está ae a dica.
Só tome cuidado, por não ser orientado a sessão, evite usar regras "from
any to tab
Encontrei um material muito bom sobre filtro l7 em:
http://www.karczmarski.com/snortlog2cmd.html
Estou implantando em um ambiente de testes, vamos ver como fica.
Está ae a dica.
2008/3/12 Klaus Schneider <[EMAIL PROTECTED]>:
> Snort inline é perfeito pra isso.
>
> Colocar em kernel space strings
Snort inline é perfeito pra isso.
Colocar em kernel space strings e expressões regulares é um tanto arriscado,
já em user space, que se f*da, um overflow daria no máximo acesso a shell do
usuário que está executando o snort.
Snort pode ter um pouco de custo de CPU, mas em compensação, tem tudo, e
Bloqueio de porta nenhum resolve resolve o problema do p2p pode ser via pf,
ipfw.
O controle de banda é uma idéia legal. Só lembrando que tem alguns p2p que
possuem o recurso de criptografia só pra complicar mais ainda.
A solução pra p2p REALMENTE é filtro na camada 7, legal seria se
desenvolv
Não sei se vai ajudar muito, aqui eu criei uma regra legal no PF..
pass log proto tcp from { $internal_net, $external_addr } to any port { <
1024, 1494, 1723, 1863, 3456, 50001 } modulate state flags S/SA
Ninguém mais conseguiu usar e-mule nem p2p.
[]´s
2008/3/12 Tiago Isic Brasil <[EMAIL PROTE
Boa tarde!
Já tenho algumas soluçoes como descrito, mas precisa ter algo pois, vai
que alguem solicite, quero todas as portas UDP abertas e TCP abertas e
bloqueio ou shapping do p2p.
att
Tiago ISIC Brasil
Em Qua, 2008-03-12 às 14:43 -0300, Marcello escreveu:
> Amigo
> Já tem um bom tempinho
Amigo
Já tem um bom tempinho que coloquei na lista que para bloquear p2p basta
bloquear o trafego de UDP , liberando apenas o necessário de preferencia
ponto a ponto , por exemplo DNS para servidores de dns , ponto a ponto
para VPN e assim por diante, isso não exatamente bloqueia o download mas
sim
Bom dia a todos.
Seguinte estou na lutar por vários dias em criar as rules para o
snort_inline identificar o trafego p2p.
Fiquei mais de 1 dia vendo payloads e mais payloads via tcpdump,
tentando descobrir padroes quando os aplicativos clientes tentam a
conexão. Bom estou no momento analizando o f
; From: "mantunes" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>
>
> Sent: Thursday, February 21, 2008 2:50 PM
> Subject: Re: [FUG-BR] RES: Filtro L7
>
>
> Welkson
>
> vc pode me passar esse script
>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Thursday, February 21, 2008 2:50 PM
Subject: Re: [FUG-BR] RES: Filtro L7
Welkson
vc pode me passar esse script.. tenho interesse de implementar essa solução.
agradeço muito..
obrigado
Em 21/02/08, Welkso
.\._/_)
>
> www.FreeBSD.org
>
> - Original Message -
> From: "mantunes" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>
>
> Sent: Thursday, Februa
--- Original Message -
From: "mantunes" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Thursday, February 21, 2008 11:26 AM
Subject: Re: [FUG-BR] RES: Filtro L7
Waelkson,
vc notou alguma diferença entre a mudaça do ossec de
Tiago Isic Brasil escreveu:
> Bom dia!
Ola Tiago,
>
> Lista, seguinte com a ajuda do sr. Patrick consegui jogar o trafego
> identificado como p2p pelo snort_inline para as regras do ipfw. Valeu
> Patrick, agora vou começar a customizar as rules do snort para ver se
> pego mais do que o Emule no
.\._/_)
>
> www.FreeBSD.org
>
>
> - Original Message -
> From: "mantunes" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>
>
> Sent: Thursday, Fe
Powered by
(__)
\\\'',)
\/ \ ^
.\._/_)
www.FreeBSD.org
- Original Message -
From: "mantunes" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Thursday, February 21, 2008 10:25 AM
Subject: Re: [FUG-BR] RES: Filtro L7
isso tiago, se
isso tiago, será de grande utilidade essa solução para lista.
Estamos esperando.
Em 21/02/08, Tiago Isic Brasil<[EMAIL PROTECTED]> escreveu:
> Bom dia!
>
> Lista, seguinte com a ajuda do sr. Patrick consegui jogar o trafego
> identificado como p2p pelo snort_inline para as regras do ipfw. Valeu
Bom dia!
Lista, seguinte com a ajuda do sr. Patrick consegui jogar o trafego
identificado como p2p pelo snort_inline para as regras do ipfw. Valeu
Patrick, agora vou começar a customizar as rules do snort para ver se
pego mais do que o Emule no trafego.
Prometo montar um tutorial descrevendo o p
Seguinte, numa olhada rapida esta tudo OK entao vamos direto a causa
mais provavel, as regras
include $RULE_PATH/p2p.rules
include $RULE_PATH/bleeding-p2p.rules
Estao modificadas pra ter a ação reinject?
Por exemlo, minhas regras de filtro do eDonkey/eMule da vida:
reinject tcp $EXTERNAL_NET 1
Boa tarde!
Sr. Patrick, estou testando o snort_inline + ipfw como descrito no seu
email de resposta a lista referente ao bloqueio do P2P , só que não
estou tendo muito sucesso.
Eu queria só que você checasse onde pode estar errado e me dar um toque
no que pode-se ser realizado.
Quando concluir os
Lucas Mocellin escreveu:
> Obrigado pela atenção Patrick, com certeza sua contribuição será de
> muito bom proveito, vou tentar implementar algo como o que você falou
> e depois posto algum comentário sobre aqui, porém concordo com a idéia
> do Márcio.
>
> Foi uma boa abordagem do assunto, porém s
Obrigado pela atenção Patrick, com certeza sua contribuição será de
muito bom proveito, vou tentar implementar algo como o que você falou
e depois posto algum comentário sobre aqui, porém concordo com a idéia
do Márcio.
Foi uma boa abordagem do assunto, porém soou um tanto complexa, tudo
bem que s
Marcio Antunes escreveu:
> Aproveitando patrick,
>
> pq vc não coloca em forma de artigo.. assim ficaria como um How-to.
Porque é simples demais, e se resumiria em essência ao conteúdo desse
e-mail. O resto é snort apenas, nada especifico com a abordagem.
Outra abordagem bastante funcional é co
Aproveitando patrick,
pq vc não coloca em forma de artigo.. assim ficaria como um How-to.
Em 26/11/07, Patrick Tracanelli<[EMAIL PROTECTED]> escreveu:
> Vou tentar resumir o ambiente que eu uso pra filtrar L7, aja que a
> thread esta bem grande.
>
> Instale via ports o snort_inline, e entao conf
Vou tentar resumir o ambiente que eu uso pra filtrar L7, aja que a
thread esta bem grande.
Instale via ports o snort_inline, e entao configure o snort_inline.conf
com algo proximo a isso (pode comecar com isso e depois customizar):
### Network variables
var HOME_NET [192.168.0.0/16,10.0.0.0/8,2
-
> From: "Lucas Mocellin" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>
> Sent: Saturday, November 24, 2007 11:27 PM
> Subject: Re: [FUG-BR] RES: Filtro L7
>
>
> po, ta complicado assim.. =\ nao tem nenhum admin
Atenciosamente
- Original Message -
From: "Lucas Mocellin" <[EMAIL PROTECTED]>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
Sent: Saturday, November 24, 2007 11:27 PM
Subject: Re: [FUG-BR] RES: Filtro L7
po, ta complicado assim.. =\ nao tem nenhum admi
po, ta complicado assim.. =\ nao tem nenhum admin da NET ai?? eehehehe
eu instalei o pfSense que faz traffic shapping, parece que eh por
porta mesmo, mas eu acho estranho que os programas parece que comecam
estabelecendo em uma porta e o envio do arquivo mesmo é em uma porta
aleatória, aí é compli
On Sat, 24 Nov 2007 13:02:05 -0200, Klaus Schneider wrote
Certa vez, assisti em uma demonstração de um sistema de controle
via socket. Era tudo fechado proxy/conexão direta, so conseguia
sair via sochet, e nessa conexão os caras faziam filtros de aplicação
não entraram muito em detalhes técn
>
> - Original Message -
> From: "Lucas Mocellin" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>
> Sent: Saturday, November 24, 2007 11:18 AM
> Subject: Re: [FUG-BR] RES: Filtro L7
>
>
> mas enta
>
> Welkson
>
> - Original Message -
> From: "Thiago Damas" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>
> Sent: Saturday, November 24, 2007 11:01 AM
> Subject: Re: [FUG-BR] RES: Filtro L7
>
>
>
inal Message -
> From: "Thiago Damas" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>
> Sent: Saturday, November 24, 2007 11:01 AM
> Subject: Re: [FUG-BR] RES: Filtro L7
>
>
> Esses trafegos obfuscados e c
11:01 AM
Subject: Re: [FUG-BR] RES: Filtro L7
Esses trafegos obfuscados e criptografados, nao...
On Nov 24, 2007 11:40 AM, Lucas Mocellin <[EMAIL PROTECTED]> wrote:
> Olá,
>
> então Eduardo, na verdade eu queria primeiro saber quem está usando e
> quanto de banda está con
Esses trafegos obfuscados e criptografados, nao...
On Nov 24, 2007 11:40 AM, Lucas Mocellin <[EMAIL PROTECTED]> wrote:
> Olá,
>
> então Eduardo, na verdade eu queria primeiro saber quem está usando e
> quanto de banda está consumindo, para depois TALVEZ fazer um traffic
> shapping ou bloquear, m
Olá,
então Eduardo, na verdade eu queria primeiro saber quem está usando e
quanto de banda está consumindo, para depois TALVEZ fazer um traffic
shapping ou bloquear, mas o principal é descobrir quanto de banda ta
consumindo.
Tenho uma situação parecida, um link de 18MB no talo..
o seu script já
Olá, sobre o mesmo assunto, alguém já verificou alguma coisa sobre o
ng_pf ?
-Mensagem original-
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em
nome de Thiago Damas
Enviada em: sexta-feira, 23 de novembro de 2007 11:33
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Assunto
36 matches
Mail list logo
