[FUG-BR] Firewall / Snort + OSSEC / PortScan
Welkson Renny de Medeiros
welkson em focusautomacao.com.br
Quarta Outubro 24 11:35:15 BRST 2007
Pessoal,
No PF coloquei a regra para bloquear todo tráfego (com log) de entrada,
exceto algumas portas de serviços (web, openvpn, ssh, etc)...
Ontem analisando os logs tenho visto MUITOS portscan... o estranho é que a
internet cai... acredito que seja alguma proteção da telemar (velox*)... o
PPP fica ativo, o ip aparece no ifconfig, mas não pinga nada... mato o PPP,
recarrego, e volta tudo a funcionar... (o ppp não consegue rediscar nessa
situação).
A algum tempo atrás instalei o snort, ele gerava o alert e o OSSEC enviava o
ip para o IPFW bloquear... funfava direitinho... só que o modem ADSL era
roteado, decidi cancelar o roteamento e deixar ele bridge, já que ele fazia
nat e o freebsd também (PF NAT)... ou seja, tinha NAT duas vezes
(cascata)... comecei então a usar PPP, e minha interface externa que era
sis0 agora é TUN0... já tentei de tudo na configuração do SNORT (external
interface), mas ele não consegue mais analisar os pacotes... com isso os
ataques chegam e não consigo bloquear... alguém usa ppp e tem snort? poderia
mostrar como configurou a interface externa no snort.conf?
O meu:
var HOME_NET
[192.168.0.0/24,192.168.1.0/24,192.168.2.0/24,192.168.3.0/24,192.16
8.4.0/24,192.168.5.0/24,192.168.102.0/24]
var EXTERNAL_NET !$HOME_NET
Já alterei esse external_net para vários valores, mas ele não loga... quando
o modem era roteado isso funfava perfeitamente... tem algum parâmetro extra
para o snort funcionar com interfaces TUN?
Ou se alguém souber alguma regra que de PF ou IPFW que me ajuda até eu
resolver essa bronca no snort...
Abraço,
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
Powered by ....
(__)
\\\'',)
\/ \ ^
.\._/_)
www.FreeBSD.org
Mais detalhes sobre a lista de discussão freebsd