[FUG-BR] Firewall Pró Ativo

[Thiago Pollachini]

Obrigado a todos pela contribuição.

Irei dar uma olhada no snort + ossec .

Saudações,

Em 18 de março de 2010 12:01, Welkson Renny de Medeiros <
welkson em focusautomacao.com.br> escreveu:

> Patrick Tracanelli escreveu:
> > Augusto Ferronato escreveu:
> >
> >> Dê um lida nesse material
> >>
> >> www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf
> >>
> >> Abs[]
> >>
> >
> > Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem
> > gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q
> > ser tunado o iptraf pra evitar problemas, depois de tunado fica fino).
> >
> >
> Usei Snort+OSSEC durante um bom tempo (no início do OSSEC ajudei a
> portar as regras de firewall do Linux para FreeBSD... versão IPFW...
> depois fizeram em PF... e melhoraram minhas regras em IPFW que não
> usavam tables).
>
> Instalei também o BASE... ficou bem legal...
>
> No meu caso, tive muitos problemas com falsos alertas... o snort gerava
> um log alertando um cabeçalho com tamanho grande por exemplo... o ossec
> lia o log, e já chamava o active-response, que bloqueava o IP... o
> problema é que em 90% dos casos não era ataque... acabava bloqueando
> clientes e me dando uma enorme dor de cabeça =)
>
> Fui mexendo nos rules do snort, até que deixou de acontecer... depois
> perdi o servidor (queimou), instalei o freebsd novo e não tive tempo de
> voltar a brincar com Snort+OSSEC.
>
> Me diverti muito conectando em freebsd de amigos, e rodando NMAP no
> meu... em poucos segundos a conexão caía (era bloqueada)... ou até mesmo
> rodando um nikto no servidor web... é bem legal!
>
> --
> Welkson Renny de Medeiros
> Desenvolvimento / Gerência de Redes
> Focus Automação Comercial
> FreeBSD Community Member
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>