[FUGSPBR] scripts para atuar em conjunto com firewall
Santos Anderson
amsnetbr em yahoo.com.br
Qua Jan 9 10:55:17 BRST 2002
Concordo com Goto, e ainda vc fazendo seu propio
script vc pode filtrar informacoes que nao
interessam,fazer uma estatistica e ainda ser avisado
em tempo real sobre a inclusao de uma nova regra.Eu
estou em fase final de um script que filtra os logs do
ipfw e adicona regras(bloqueia) de acordo com os
logs.Logo depois vou fazer um outro filtrando as
mensagens do tcpdump para ter uma analise detalhada da
minha rede.Apesar de estar usando o ipfw eu sou fa
numero 1 do ipf,principalmente na manipulacao de flags
que e dez.Por falar no assunto alguem da lista sabe
aonde encontro documentacao detalhada do tcpdump sem
ser os mans e tcpdump.org.E que estou preparando uma
documentacao sobre o tcpdump:"Melhor amigo do analista
de seguranca" hehehe
Atenciosamente
Anderson Montenegro dos Santos
--- Mauricio Goto <freebsd-brasil em uol.com.br>
escreveu: > Fala mocada :-)
>
> eu particulamente nao uso mais SNORT ou qqr outro
> IDS tosco, sou mais
> fazer meu proprio script (regras e politica minha),
> quem me conhece ja
> usei muito ipfw e ipfilter, acho a ideia do Patrick
> (ipfw) muito bom,
> mas no caso do ipfilter tbm nao fica atras nao, use
> "ipmon -D
> /path/ipf.log" e faca um script para verificacao e
> bloquando os carinhas
> :p
>
> algumas ferramentas no Ipfilter q pode te ajudar
> pacas :-)
>
> Ipmeta:
> http://www.sentia.org/projects/ipfmeta/
>
> Logview:
> http://www.sentia.org/projects/logview/
> http://www.sentia.org/projects/logview/logview.gif
>
>
> Guilherme qqr coisa me ligue ou mail me :-)
>
> (alias trocamos ideias desde da primeira vez q se
> ouviou falar do
> projeto Openbsd do Brasil algum algum 3 anos last :p
> )
>
> fui...
>
> >
> > Guilerme, acho que a maioria dos IDS devem fazer
> isso, os mais conhecidos sao o (popular) Snort e uma
> boa opcao auxiliar a seus proprios scripts eh o
> portsentry... usar algumas regras de ipfw(8) com log
> habilitado e a acao "count" em algumas portas
> blackholed tambem pode ser uma boa ideia pra voce
> criar seus proprios scripts que no minimo podem
> detectar (e depois bloquear de acordo com a
> frequencia do curioso) port scans e esse tipo de
> coisinha...
> >
> > Pode ler algumas coisas na pagina do Renato,
> aqui:
> >
>
http://www.unixsecurity.com.br/search.php?query=NIDS&topic=&author=&days=0&type=stories
> >
> >
> > >Pratick,
> > >
> > >qual IDS vc usa p/ modificar regras dinamicamente
> no IPF ? sabe onde posso
> > >ler a este respeito?
> > >
>
> --
> []x
> Mauricio Goto System Administrator UOL -
> BOL
> http://www.sys.adm.br ICQ 55531812
> ----
> Para sair da lista envie um e-mail para
> majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
_______________________________________________________________________________________________
Yahoo! GeoCities
Tenha seu lugar na Web. Construa hoje mesmo sua home page no Yahoo! GeoCities. É fácil e grátis!
http://br.geocities.yahoo.com/
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd