[FUG-BR] Snort - Ossec - Pigmeet

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Sábado Março 3 12:44:24 BRT 2007 

Rafael,


Tenho aqui Snort 2.6 com OSSEC 0.9 (tenho que atualizar ;-)... não sei para 
que serve esse pigmeet, se a idéia dele é incluir regras no firewall para 
bloquear o ip então ele não tem utilidade nesse cenário, pois o OSSEC já faz 
isso... na época falei diretamente com o desenvolvedor do OSSEC (Daniel 
Cid), e durante vários dias fizemos testes até funcionar com FreeBSD + 
IPFW...

Realmente o SNORT precisa de alguns ajustes, pois tudo que sai no log 
(/var/log/snort/alert) o ossec bloqueia no firewall.. às vezes eu só 
conectava no servidor via http, listava uns arquivos e do nada já estava 
incluído no firewall... aos poucos fui desligando alguns alertas do snort e 
hoje já dar pra usar...

Para acompanhar os bloqueios você também pode usar o BASE 
(http://sourceforge.net/projects/secureideas).

Abraço e boa sorte.


-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br

----- Original Message ----- 
From: "Rafael Busetti" <omegatiger em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Saturday, March 03, 2007 12:24 PM
Subject: [FUG-BR] Snort - Ossec - Pigmeet


Pessoal venho estudando sobre segurança, redes e por ai vai ...
gostaria de saber se a integração com snort + pigmmet + ossec vale
apena ... vi comentarios que eram gerados muitos falsos alertas,
comprometendo o uso de certos serviços do servidor ... porém pelo que
já li sobre o Snort (NIDS), é uma ferramenta que um servidor de
segurança não pode deixar de ter ... onde o pigmeet integra o Snort
com as regras do firewall (me corrijam se estou falando besteira) e o
Ossec (HIDS) auxilia no controle de logs de segurança do sistema em
geral, integridade do sistema, detecta rootkits e assim por diante ...

Logo essas 3 ferramentas parecem muito boas ... porém não tenho muita
experiencia com isso, gostaria de saber do pessoal que já mexe a algum
tempo encima de segurança o que que recomendam para garantir uma ótima
segurança, em questão de ferramentas para auxiliar o trabalho ...

Obrigado!
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd