[FUG-BR] Firewall Pró Ativo

[Welkson Renny de Medeiros]

Patrick Tracanelli escreveu:
> Augusto Ferronato escreveu:
>   
>> Dê um lida nesse material
>>
>> www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf
>>
>> Abs[]
>>     
>
> Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem
> gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q
> ser tunado o iptraf pra evitar problemas, depois de tunado fica fino).
>
>   
Usei Snort+OSSEC durante um bom tempo (no início do OSSEC ajudei a 
portar as regras de firewall do Linux para FreeBSD... versão IPFW... 
depois fizeram em PF... e melhoraram minhas regras em IPFW que não 
usavam tables).

Instalei também o BASE... ficou bem legal...

No meu caso, tive muitos problemas com falsos alertas... o snort gerava 
um log alertando um cabeçalho com tamanho grande por exemplo... o ossec 
lia o log, e já chamava o active-response, que bloqueava o IP... o 
problema é que em 90% dos casos não era ataque... acabava bloqueando 
clientes e me dando uma enorme dor de cabeça =)

Fui mexendo nos rules do snort, até que deixou de acontecer... depois 
perdi o servidor (queimou), instalei o freebsd novo e não tive tempo de 
voltar a brincar com Snort+OSSEC.

Me diverti muito conectando em freebsd de amigos, e rodando NMAP no 
meu... em poucos segundos a conexão caía (era bloqueada)... ou até mesmo 
rodando um nikto no servidor web... é bem legal!

-- 
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member