[FUGSPBR] Firewall com Snort
Fabricio Bortoluzzi
fabricio em inf.univali.br
Sex Jul 5 09:44:38 BRT 2002
Oi Mário,
pois é, esse dilema de ativar o bloqueio automático ou não tem sua
resposta de modo muito pessoal, porque bloquear tráfego malicioso quase
sempre implica em bloquear tráfego legítimo.
Imagine por exemplo, que existe 20 pessoas em um proxy atrás do endereço
200.200.200.200, e 1 delas resolve fazer um port scanning em sua rede,
porém os outros 19 estão trabalhando, produzindo dinheiro para sua
empresa... Seria muito ruim ter um sistema de bloqueio automático nesse
caso, não concorda?
Faça o seguinte, avalie o guardian por um tempo e viva você mesmo essa
experiência...
Atenciosamente,
Fabricio Bortoluzzi
Laboratório de Computação Aplicada
Universidade do Vale do Itajaí, SC
On Friday, July 5, 2002, at 09:31 AM, Mário Augusto Cardia wrote:
> Olá!
>
> Preciso implementar um firewall para protejer uma lan de uma empresa
> e seus servidores. Quanto a protejer a lan, é tranquilo, é só configurar
> o firewall do freebsd (eu uso o ipfw). Mas para protejer os servidores
> (e-mail e www) fica mais complicado, pq mesmo com o firewall, para que
> exista o acesso externo a lan aos servidores, estas portas (25, 110 e
> 80) devem ficar abertas (mesmo que utilizando o NAT), deixando os
> servidores vulneráveis, certo?
>
> Pensei em utilizar o Snort para detectar ataques a estes servidores, mas
> o snort apenas detecta e não bloqueia o ataque. Lendo a documentação
> vi que utilizando um software do contrib chamado Guardiam é possível
> bloquear os IPs, até em outra oportunidade, até desenvolvi um programa
> semelhante em C para gerar regras dinâmicas no firewall, mas na mesma
> documentação estava um comentário informando que bloquear os IPs não era
> recomendado.
>
> Minha dúvida: Se não for para parar o ataque, para que então utilizar um
> IDS? Pra ficar olhando os logs? Existe um meio de o próprio snort parar
> os ataques ou alguma outra solução pra protejer os servidores?
>
> Só lembrando que o firewall é para uma empresa que não é do ramo da
> informática, eles não poderam ficar olhando logs e não sabem atualizar
> os servidores com as correções contra as falhas de segurança. Preciso de
> uma solução em que o firewall faça esta tarefa.
>
>
> Obrigado,
>
> []'s
>
>
> Mário
>
>
> ________________________________________________
> Para sair da lista visite o URL abaixo:
> http://www2.fugspbr.org/mailman/listinfo/fugspbr
>
>
________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr
Mais detalhes sobre a lista de discussão freebsd