[FUGSPBR] ids + test server...

-:: Felipe Martins ::- phillist em nettaxi.com
Qui Fev 28 03:51:40 BRT 2002


Cara, muito obrigado, a sua msg foi muito exclarecedora ...
Vou dar uma olhada no Saint que esse eu nao conheco 

Abracao.
Obrigadao



*********** REPLY SEPARATOR  ***********

On 27-02-2002 at 8:50 Anderson Montenegro dos Santos wrote:

>Com certeza mas o saint e melhor que o satan de uma
>olhada nele.EU faco +- assim:
>
> Antes do firewall tenha uma maquina que chamo "boi de
>piranha" que roda o snort + shadow,depois vem o
>firewall e atras dele tenho a  minha dmz e numa rede
>separada a maquina gerenciadora.O snort,rodado como
>ids ativo, eu evito ataques a meus servidores de
>www,smtp etc.Com o shadow eu diariamente analizo todos
>os pacotes da minha rede,ele trabalha com o tcpdump e
>envia via ssh os logs para maquina gerenciadora em
>formato de paginas em html.Nessa maquina gerenciadora
>eu rodo ferramentas como nessus,nmap,strobe,saint qdo
>tenho tempo e claro.No momento estou estudando a
>criacao de uma ferramenta que torne o firewall
>dinamico,baseado em filtros nos logs do propio
>firewall.Quero fazer tudo em C. 
>
> Um abraco
>
>--- "-:: Felipe Martins ::-" <phillist em nettaxi.com>
>escreveu: > Bom, já pegando o trem andando e
>embarcando na msg
>> do amigo, eu poderia tambem melhorar o IDS usando
>> algum scanner tipo NESSUS ou satan para detecção de
>> invasões ??
>> 
>> Obrigado desde já
>> 
>> 
>> 
>> *********** REPLY SEPARATOR  ***********
>> 
>> On 26-02-2002 at 22:26 Anderson Montenegro dos
>> Santos wrote:
>> 
>> >Se vc quiser proteger sua rede o snort e uma boa,
>> >ele e um filtro de conteudo baseado em assinaturas
>> de
>> >ataques conhecidos(rules),que sempre deve ser
>> >atualizado,permitindo vc ate  a da um rst no pacote
>> >que coincidir com a assinatura.Quando trabalha em
>> conj
>> >com algumas ferramentas como hogwash ele funciona
>> como
>> >um ids ativo ou seja ele chama o firewall.Existe
>> uma
>> >serie de ferramentas que trabalham em conjunto com
>> >snort.De uma olhada em www.snort.org.O portsentry e
>> um
>> >detector de portscan,que tb trabalha em conj com
>> >filtro de pacotes.Acho desnecessario porque o snort
>> >alem de NIDS tb faz esse trabalho.Uma ferramenta
>> >essencial  e o tcpdump,faca scripts utilizando os
>> >filtros do tcpdump.
>> >
>> >  Espero ter ajudado
>> >
>> >
>> >
>> >
>> >
>> >
>> >
>> >
>> >
>> >--- carnage <engineer_carnage em bol.com.br> escreveu:
>> >
>> >Pessoall
>> >>  tudo joia...
>> >>  Estou montando um firewall para uma empresa que
>> >> estah
>> >> com problemas com seu win2k(nao sabe o que eh
>> ficar
>> >> on
>> >> line), pretendia alem da seguranca feita com ip
>> >> filter,
>> >> tambem colocar um ids(intrusion detect system) e
>> >> talvez
>> >> um sniffer na rede interna pra verificar se os
>> >> problemas
>> >> nao estao vindo de dentro (algo como uma
>> >> backdoor)...
>> >>
>> >> gostaria do conselho de vc´s quanto ao que
>> procurar
>> >> para
>> >> fazer o firewall (alem do ip filter [casos
>> extremos,
>> >> proxy transparente para analyze do que estao
>> vendo,
>> >> evitando o sniffer]), e tambem para o que usar
>> com o
>> >> ids...
>> >>
>> >> tempos atras vi na lista a respeito do
>> >> portsentry/snort
>> >> (onde encontro mais informaçoes sobre?)...
>> >>
>> >> e uma ferramente de teste para o firewall, algo
>> >> violento, me assegurando que naum vou ter dores
>> de
>> >> cabeça com a segurança deles...
>> >>
>> >> Obrigado, ateh mais...
>> >>
>> >>
>> >>
>>
>>__________________________________________________________________________
>> >> Quer ter seu próprio endereço na Internet?
>> >> Garanta já o seu e ainda ganhe cinco e-mails
>> >> personalizados.
>> >> DomíniosBOL - http://dominios.bol.com.br
>> >>
>> >>
>> >> ----
>> >> Para sair da lista envie um e-mail para
>> >> majordomo em fugspbr.org
>> >> com as palavras "unsubscribe fugspbr" no corpo da
>> >mensagem.
>> >
>> >=====
>> >Anderson Montenegro dos Santos
>> >Consultor Linux,*BSD e *NIX
>> >email:amsnetbr em yahoo.com.br
>> >Tel:+55021 98752174
>> >Openbsd-->Four years without a remote hole in the
>> default install!
>> >www.openbsd.org
>> >
>>
>>_______________________________________________________________________________________________
>> >Yahoo! Empregos
>> >O trabalho dos seus sonhos pode estar aqui.
>> Cadastre-se hoje mesmo no Yahoo! Empregos e tenha
>> acesso a milhares de vagas abertas!
>> >http://br.empregos.yahoo.com/
>> >----
>> >Para sair da lista envie um e-mail para
>> majordomo em fugspbr.org
>> >com as palavras "unsubscribe fugspbr" no corpo da
>> mensagem.
>> 
>> 
>> 
>> ----
>> Para sair da lista envie um e-mail para
>> majordomo em fugspbr.org
>> com as palavras "unsubscribe fugspbr" no corpo da
>mensagem. 
>
>=====
>Anderson Montenegro dos Santos
>Consultor Linux,*BSD e *NIX
>email:amsnetbr em yahoo.com.br
>Tel:+55021 98752174
>Openbsd-->Four years without a remote hole in the default install!
>www.openbsd.org
>
>_______________________________________________________________________________________________
>Yahoo! Empregos
>O trabalho dos seus sonhos pode estar aqui. Cadastre-se hoje mesmo no Yahoo! Empregos e tenha acesso a milhares de vagas abertas!
>http://br.empregos.yahoo.com/
>----
>Para sair da lista envie um e-mail para majordomo em fugspbr.org
>com as palavras "unsubscribe fugspbr" no corpo da mensagem.



----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.



Mais detalhes sobre a lista de discussão freebsd