[FUG-BR] RES: Filtro L7

mantunes mantunes.listas em gmail.com
Quinta Fevereiro 21 11:26:43 BRT 2008 

Waelkson,

vc notou alguma diferença entre a mudaça do ossec de ipfw para pf ? o
snort_inline tambem pode ser usado um pf ??



Em 21/02/08, Welkson Renny de Medeiros<welkson at focusautomacao.com.br> escreveu:
> Bom dia Tiago!
>
>
>  Será o "artigo do ano" rsrsrs...
>
>  snort_inline nunca usei... uso o ossec... mas não trato p2p... só outros
>  tipos de ataque (web, sql, etc)... usava o ossec integrado ao ipfw, agora
>  estou usando com pf.
>
>
>
>  --
>  Welkson Renny de Medeiros
>  Focus Automação Comercial
>  Desenvolvimento / Gerência de Redes
>  welkson at focusautomacao.com.br
>
>
>
>                       Powered by ....
>
>                                            (__)
>                                         \\\'',)
>                                           \/  \ ^
>                                           .\._/_)
>
>                                       www.FreeBSD.org
>
>
>  ----- Original Message -----
>  From: "mantunes" <mantunes.listas at gmail.com>
>  To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
>  <freebsd at fug.com.br>
>
> Sent: Thursday, February 21, 2008 10:25 AM
>  Subject: Re: [FUG-BR] RES: Filtro L7
>
>
>
> isso tiago, será de grande utilidade essa solução para lista.
>
>  Estamos esperando.
>
>  Em 21/02/08, Tiago Isic Brasil<tiago at isic.com.br> escreveu:
>  > Bom dia!
>  >
>  >  Lista, seguinte com a ajuda do sr. Patrick consegui jogar o trafego
>  >  identificado como p2p pelo snort_inline para as regras do ipfw. Valeu
>  >  Patrick, agora vou começar a customizar as rules do snort para ver se
>  >  pego mais do que o Emule no trafego.
>  >
>  >
>  >  Prometo montar um tutorial descrevendo o processo de bloqueio do p2p via
>  >  ipfw com snort_inline.
>  >
>  >
>  >  att
>  >  Tiago ISIC Brasil
>  >
>  >
>  >
>  >
>  >
>  >  Em Qua, 2008-02-20 às 17:49 -0300, Patrick Tracanelli escreveu:
>  >
>  > > Seguinte, numa olhada rapida esta tudo OK entao vamos direto a causa
>  >  > mais provavel, as regras
>  >  >
>  >  > include $RULE_PATH/p2p.rules
>  >  > include $RULE_PATH/bleeding-p2p.rules
>  >  >
>  >  > Estao modificadas pra ter a ação reinject?
>  >  >
>  >  > Por exemlo, minhas regras de filtro do eDonkey/eMule da vida:
>  >  >
>  >  > reinject tcp $EXTERNAL_NET 1024:65535 -> $HOME_NET 4660:4799
>  >  > (msg:"FBSDBR P2P Edonkey Server Status"; flow:established; dsize:14;
>  >  > content:"|e3 09 00 00 00 34|"; depth:6; classtype:policy-violation;
>  >  > reference:url,www.giac.org/certified_professionals/practicals/gcih
>  >  >
>  >  > /0446.php; sid:3003324; rev:1;)
>  >  >
>  >  > Note o reinject no inicio da regra.
>  >  >
>  >  > Faca um sed pra trocar de todas as suas regras.
>  >  >
>  >  >
>  >  >
>  >  > Tiago Isic Brasil escreveu:
>  >  > > Boa tarde!
>  >  > >
>  >  > > Sr. Patrick, estou testando o snort_inline + ipfw como descrito no
>  > seu
>  >  > > email de resposta a lista referente ao bloqueio do P2P , só que não
>  >  > > estou tendo muito sucesso.
>  >  > >
>  >  > > Eu queria só que você checasse onde pode estar errado e me dar um
>  > toque
>  >  > > no que pode-se ser realizado.
>  >  > > Quando concluir os testes poderei descrever para a lista o processo
>  > da
>  >  > > instalação e configuração dos arquivos.
>  >  > >
>  >  > > Abaixo está minhas regras de firewall
>  >  > >
>  >  > >
>  >  > > Lembrando que está sendo realizado NAT com natd
>  >  > >
>  > #######################################################################
>  >  > > cmd="ipfw -q add"
>  >  > >
>  >  > > #Interfaces de rede
>  >  > > int1="xl0"
>  >  > > ext1="fxp0"
>  >  > > skip="skipto 900"
>  >  > > network1="192.168.90.0/24"
>  >  > >
>  >  > > #Libera trafego de qualquer lugar para lo0
>  >  > > $cmd 11 allow ip from any to any via lo0
>  >  > >
>  >  > > #Bloqueia trafego de qualquer lugar para 127.0.0.0/8
>  >  > > $cmd 12 deny ip from any to 127.0.0.0/8
>  >  > >
>  >  > > #Bloqueia trafego de 127.0.0.0/8 para qualqier lugar
>  >  > > $cmd 13 deny ip from 127.0.0.0/8 to any
>  >  > >
>  >  > > #Aqui está a regra pelo que entendi no email do Patrick,  que é
>  > enviar
>  >  > > tudo que esteja tagged 30 para a regra de nr. 65500
>  >  > > $cmd 14 skipto 65500 log all from any to any tagged 30
>  >  > >
>  >  > > #Libera o serviço SSH
>  >  > > $cmd 16 allow tcp from any to me 22 in via $ext1
>  >  > >
>  >  > > #Conexoes já estabilizadas vao para a regra de divert
>  >  > > $cmd 103 $skip tcp from any to any established
>  >  > >
>  >  > > #Aqui está a minha duvida. A regra 900 recebe o trafego, blz, mas se
>  > eu
>  >  > > omitir ela e apenas usar a regra nr 901 não funciona nada.
>  >  > > #Quando inicio o snort ele abre o socket divert na porta 8000
>  >  > > $cmd 900  divert 8668 log ip4 from any to any
>  >  > > $cmd 901 divert 8000 log all from any to any
>  >  > >
>  >  > > #Permite trafego de qualquer lugar para qualquer lugar.
>  >  > > $cmd 1000 allow log ip from any to any
>  >  > >
>  >  > >
>  >  > > #Como descrito no email do Patrick, o que for identificado pelo
>  >  > > snort_inline, vai para a regra 65500
>  >  > > $cmd 65499 deny log all from any to any
>  >  > > $cmd 65500 count tag 30 log all from any to any keep-state
>  >  > >
>  >  > > #Bloqueia qualquer trafego de qualquer lugar
>  >  > > $cmd 65534 deny log ip from any to any
>  >  > >
>  > ########################################################################
>  >  > >
>  >  > >
>  >  > > Meu snort_inline.conf
>  >  > >
>  > #######################################################################
>  >  > >
>  >  > > #Redes
>  >  > >
>  >  > > var HOME_NET [192.168.90.0/24]
>  >  > >
>  >  > > var HONEYNET any
>  >  > > var EXTERNAL_NET any
>  >  > > var SMTP_SERVERS any
>  >  > > var TELNET_SERVERS any
>  >  > > var HTTP_SERVERS any
>  >  > > var SQL_SERVERS any
>  >  > > var HTTP_PORTS 80
>  >  > > var SHELLCODE_PORTS !80
>  >  > > var DNS_SERVERS any
>  >  > >
>  >  > > #Manda para o ipfw
>  >  > >
>  >  > > config ipfw_reinject_rule: 65500
>  >  > >
>  >  > > var RULE_PATH /usr/local/share/snort_inline/rules
>  >  > >
>  >  > > preprocessor flow: stats_interval 0 hash 2
>  >  > > output alert_fast: inline_fast
>  >  > >
>  >  > > include /usr/local/share/snort_inline/classification.config
>  >  > > include /usr/local/share/snort_inline/reference.config
>  >  > >
>  >  > >
>  >  > > include $RULE_PATH/p2p.rules
>  >  > > include $RULE_PATH/bleeding-p2p.rules
>  >  > >
>  >  > >
>  > ###############################################################################
>  >  > >
>  >  > > O que está acontencendo é o seguinte, no log do snort apareceu a
>  >  > > identificaçao do trafego dos testes que realizei com os programas
>  > mais
>  >  > > conhecidos como Emule,DreMule.
>  >  > > Mas nada foi enviado para a regra:
>  >  > >
>  >  > > #ipfw show
>  >  > >
>  >  > > 00011    0       0 allow ip from any to any via lo0
>  >  > > 00012    0       0 deny ip from any to 127.0.0.0/8
>  >  > > 00013    0       0 deny ip from 127.0.0.0/8 to any
>  >  > > 00014    0       0 skipto 65500 log logamount 100 ip from any to any
>  >  > > tagged 30
>  >  > > 00020    2     156 allow icmp from any to any
>  >  > > 00103 4772 2137400 skipto 900 tcp from any to any established
>  >  > > 00900 5622 2237029 divert 8668 log logamount 100 ip4 from any to any
>  >  > > 00901 5622 2237029 divert 8000 log logamount 100 ip from any to any
>  >  > > 01000 5622 2237029 allow log logamount 100 ip from any to any
>  >  > > 65499    0       0 deny log logamount 100 ip from any to any
>  >  > > 65500    0       0 count log logamount 100 tag 30 ip from any to any
>  >  > > keep-state
>  >  > > 65534    0       0 deny log logamount 100 ip from any to any
>  >  > > 65535    0       0 deny ip from any to any
>  >  > >
>  >  > > Bom queria uma orientação no que posso fazer.
>  >  > >
>  >  > > Desde já agradeço
>  >  > >
>  >  > > Tiago ISIC Brasil
>  >  > >
>  >  > >
>  >  > >
>  >  > >
>  >  > > -------------------------
>  >  > > Histórico: http://www.fug.com.br/historico/html/freebsd/
>  >  > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>  >  >
>  >  >
>  >
>  >  -------------------------
>  >  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  >  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>  >
>
>
>  --
>  Marcio Antunes
>  Powered by FreeBSD
>  ==================================
>  * Windows: "Where do you want to go tomorrow?"
>  * Linux: "Where do you want to go today?"
>  * FreeBSD: "Are you, guys, comming or what?"
>  -------------------------
>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>  -------------------------
>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

Mais detalhes sobre a lista de discussão freebsd