[FUG-BR] RES: Filtro L7

Tiago Isic Brasil tiago em isic.com.br
Quinta Fevereiro 21 09:22:26 BRT 2008 

Bom dia!

Lista, seguinte com a ajuda do sr. Patrick consegui jogar o trafego
identificado como p2p pelo snort_inline para as regras do ipfw. Valeu
Patrick, agora vou começar a customizar as rules do snort para ver se
pego mais do que o Emule no trafego.


Prometo montar um tutorial descrevendo o processo de bloqueio do p2p via
ipfw com snort_inline.


att
Tiago ISIC Brasil





Em Qua, 2008-02-20 às 17:49 -0300, Patrick Tracanelli escreveu:
> Seguinte, numa olhada rapida esta tudo OK entao vamos direto a causa 
> mais provavel, as regras
> 
> include $RULE_PATH/p2p.rules
> include $RULE_PATH/bleeding-p2p.rules
> 
> Estao modificadas pra ter a ação reinject?
> 
> Por exemlo, minhas regras de filtro do eDonkey/eMule da vida:
> 
> reinject tcp $EXTERNAL_NET 1024:65535 -> $HOME_NET 4660:4799 
> (msg:"FBSDBR P2P Edonkey Server Status"; flow:established; dsize:14; 
> content:"|e3 09 00 00 00 34|"; depth:6; classtype:policy-violation; 
> reference:url,www.giac.org/certified_professionals/practicals/gcih 
> 
> /0446.php; sid:3003324; rev:1;)
> 
> Note o reinject no inicio da regra.
> 
> Faca um sed pra trocar de todas as suas regras.
> 
> 
> 
> Tiago Isic Brasil escreveu:
> > Boa tarde!
> > 
> > Sr. Patrick, estou testando o snort_inline + ipfw como descrito no seu
> > email de resposta a lista referente ao bloqueio do P2P , só que não
> > estou tendo muito sucesso.
> > 
> > Eu queria só que você checasse onde pode estar errado e me dar um toque
> > no que pode-se ser realizado.
> > Quando concluir os testes poderei descrever para a lista o processo da
> > instalação e configuração dos arquivos.
> > 
> > Abaixo está minhas regras de firewall
> > 
> > 
> > Lembrando que está sendo realizado NAT com natd
> > #######################################################################
> > cmd="ipfw -q add"
> > 
> > #Interfaces de rede
> > int1="xl0"
> > ext1="fxp0"
> > skip="skipto 900"
> > network1="192.168.90.0/24"
> > 
> > #Libera trafego de qualquer lugar para lo0
> > $cmd 11 allow ip from any to any via lo0
> > 
> > #Bloqueia trafego de qualquer lugar para 127.0.0.0/8
> > $cmd 12 deny ip from any to 127.0.0.0/8
> > 
> > #Bloqueia trafego de 127.0.0.0/8 para qualqier lugar
> > $cmd 13 deny ip from 127.0.0.0/8 to any
> > 
> > #Aqui está a regra pelo que entendi no email do Patrick,  que é enviar
> > tudo que esteja tagged 30 para a regra de nr. 65500
> > $cmd 14 skipto 65500 log all from any to any tagged 30
> > 
> > #Libera o serviço SSH
> > $cmd 16 allow tcp from any to me 22 in via $ext1
> > 
> > #Conexoes já estabilizadas vao para a regra de divert 
> > $cmd 103 $skip tcp from any to any established
> > 
> > #Aqui está a minha duvida. A regra 900 recebe o trafego, blz, mas se eu
> > omitir ela e apenas usar a regra nr 901 não funciona nada.
> > #Quando inicio o snort ele abre o socket divert na porta 8000
> > $cmd 900  divert 8668 log ip4 from any to any
> > $cmd 901 divert 8000 log all from any to any
> > 
> > #Permite trafego de qualquer lugar para qualquer lugar.
> > $cmd 1000 allow log ip from any to any
> > 
> > 
> > #Como descrito no email do Patrick, o que for identificado pelo
> > snort_inline, vai para a regra 65500
> > $cmd 65499 deny log all from any to any
> > $cmd 65500 count tag 30 log all from any to any keep-state
> > 
> > #Bloqueia qualquer trafego de qualquer lugar
> > $cmd 65534 deny log ip from any to any
> > ########################################################################
> > 
> > 
> > Meu snort_inline.conf
> > #######################################################################
> > 
> > #Redes
> > 
> > var HOME_NET [192.168.90.0/24]
> > 
> > var HONEYNET any
> > var EXTERNAL_NET any
> > var SMTP_SERVERS any
> > var TELNET_SERVERS any
> > var HTTP_SERVERS any
> > var SQL_SERVERS any
> > var HTTP_PORTS 80
> > var SHELLCODE_PORTS !80
> > var DNS_SERVERS any
> > 
> > #Manda para o ipfw
> > 
> > config ipfw_reinject_rule: 65500
> > 
> > var RULE_PATH /usr/local/share/snort_inline/rules
> > 
> > preprocessor flow: stats_interval 0 hash 2
> > output alert_fast: inline_fast
> > 
> > include /usr/local/share/snort_inline/classification.config
> > include /usr/local/share/snort_inline/reference.config
> > 
> > 
> > include $RULE_PATH/p2p.rules
> > include $RULE_PATH/bleeding-p2p.rules
> > 
> > ###############################################################################
> > 
> > O que está acontencendo é o seguinte, no log do snort apareceu a
> > identificaçao do trafego dos testes que realizei com os programas mais
> > conhecidos como Emule,DreMule.
> > Mas nada foi enviado para a regra:
> > 
> > #ipfw show
> > 
> > 00011    0       0 allow ip from any to any via lo0
> > 00012    0       0 deny ip from any to 127.0.0.0/8
> > 00013    0       0 deny ip from 127.0.0.0/8 to any
> > 00014    0       0 skipto 65500 log logamount 100 ip from any to any
> > tagged 30
> > 00020    2     156 allow icmp from any to any
> > 00103 4772 2137400 skipto 900 tcp from any to any established
> > 00900 5622 2237029 divert 8668 log logamount 100 ip4 from any to any
> > 00901 5622 2237029 divert 8000 log logamount 100 ip from any to any
> > 01000 5622 2237029 allow log logamount 100 ip from any to any
> > 65499    0       0 deny log logamount 100 ip from any to any
> > 65500    0       0 count log logamount 100 tag 30 ip from any to any
> > keep-state
> > 65534    0       0 deny log logamount 100 ip from any to any
> > 65535    0       0 deny ip from any to any
> > 
> > Bom queria uma orientação no que posso fazer.
> > 
> > Desde já agradeço
> > 
> > Tiago ISIC Brasil
> > 
> > 
> > 
> > 
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
>

Mais detalhes sobre a lista de discussão freebsd