[FUG-BR] OSSEC

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Terça Março 27 20:12:44 BRT 2007 

O snort pode trabalhar somente com os logs de algumas aplicacoes como 
apache, ou com logs do sistema (messages, etc) e com essas informacoes (como 
erros de login via ssh) bloquear o usuario via ipfw... nesse caso voce pode 
ficar sem o snort... mas acho uma seguranca muito basica... o snort e uma 
boa selecao de rules gerando logs para o ossec ficaria mais profissional... 
ainda poderia usar o BASE para analisar via navegador os possiveis ataques 
detectados pelo snort (e consequentemente bloqueados pelo ossec+ipfw).

Abraço,


-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br



                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org



----- Original Message ----- 
From: "Rafael Busetti" <omegatiger em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Tuesday, March 27, 2007 4:22 PM
Subject: Re: [FUG-BR] OSSEC


Certo amigo, então eu precisaria do snort para trabalhar em conjunto
com o ossec e então gerar as regras no firewall?

Em 27/03/07, Welkson Renny de Medeiros<welkson em focusautomacao.com.br> 
escreveu:
> Oi Rafael,
>
>
> Eu usava a versão 0.9, funcionava direitinho, recentemente atualizei para
> 1.1, também fiquei na dúvida sobre o Active Response com IPFW, mas 
> funfa...
> para testar fiz o seguinte, deixei o snort e o ossec ligado, conectei em 
> um
> bsd de um outro cliente e rodei um nikto para testar falhas no meu
> servidor... depois de alguns testes executados o snort detectou uma
> tentativa de invasão, gerou o log no /var/log/snort/alert, o ossec leu e 
> na
> mesma hora bloqueou o ip do cliente pelo ipfw (ele inclui o ip do atacante
> na table 1 - ipfw table 1 list)... funfou 100%... ele também inclui o ip 
> no
> /etc/hosts.deny, mas eu retirei esse script, prefiro só no ipfw mesmo.
>
> Abraço,
>
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson em focusautomacao.com.br
>
>
>
>                       Powered by ....
>
>                                            (__)
>                                         \\\'',)
>                                           \/  \ ^
>                                           .\._/_)
>
>                                       www.FreeBSD.org
>
>
>
> ----- Original Message -----
> From: "Rafael Busetti" <omegatiger em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Tuesday, March 27, 2007 3:58 PM
> Subject: [FUG-BR] OSSEC
>
>
> Boa tarde pessoal,
>
> To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o
> funcionamento dele ... ele envia email, consegui trabalhar com ele
> tranquilamente, porém em questão do Active-Responde eu não estou
> conseguindo fazer ele funcionar ... precisa fazer alguma configuração
> mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW
> são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar
> para especificar isso para o OSSEC ... como sei se está funcionadno
> está parte?
>
> OBrigado!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd