[FUG-BR] RES: Filtro L7
mantunes
mantunes.listas em gmail.com
Quinta Fevereiro 21 15:08:25 BRT 2008
valeu rapaz..
qualquer coisa vou buzinar ai na tua porta..
Em 21/02/08, Welkson Renny de Medeiros<welkson at focusautomacao.com.br> escreveu:
> Márcio,
>
> Os scripts já vem na instalação do OSSEC (para vários firewalls), veja:
>
> [root at netserver:/var/ossec/active-response/bin] # pwd
> /var/ossec/active-response/bin
>
> [root at netserver:/var/ossec/active-response/bin] # ls
> default-firewall-drop.sh* firewall-drop.sh* ipfw.sh* pf.sh*
> disable-account.sh* host-deny.sh* ipfw_mac.sh* route-null.sh*
>
> É só copiar o pf.sh por cima do firewall-drop.sh... que é o script usado por
> padrão no ossec... ou alterar o parâmetro firewall-drop no ossec.conf
> (/var/ossec/etc)
>
> Fora o firewall, o ossec também bloqueia via arquivo hosts.deny... eu não
> gostei disso e comentei o script... prefiro usar o bloqueio só pelo firewall
> mesmo.
>
> Abraço,
>
>
>
> --
>
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson at focusautomacao.com.br
>
>
>
> Powered by ....
>
> (__)
> \\\'',)
> \/ \ ^
> .\._/_)
>
> www.FreeBSD.org
>
> ----- Original Message -----
> From: "mantunes" <mantunes.listas at gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd at fug.com.br>
>
> Sent: Thursday, February 21, 2008 2:50 PM
> Subject: Re: [FUG-BR] RES: Filtro L7
>
>
> Welkson
>
> vc pode me passar esse script.. tenho interesse de implementar essa solução.
>
> agradeço muito..
>
> obrigado
>
> Em 21/02/08, Welkson Renny de Medeiros<welkson at focusautomacao.com.br>
> escreveu:
> > Bom tarde Márcio!
> >
> >
> > Do snort_inline não posso comentar, nunca usei... sobre o firewall, eu já
> > havia migrado todas as regras de bloqueio para o pf, deixei o ipfw
> > exclusivamente para controle de banda... com isso senti necessidade de
> > também migrar o ossec para pf... o Daniel Cid (ossec) já havia escrito o
> > shell script com regras para pf, testei e está funcionando muito bem...
> > por
> > dia geralmente são bloqueados +- uns 300 ips...
> >
> > Agora pouco reiniciei a máquina, olha só quantos ips já foram bloqueados:
> >
> > [root at netserver:~] # mostra-bloqueados
> > IPs bloqueados: 32
> >
> > [root at netserver:~] # cat /bin/mostra-bloqueados
> > printf "IPs bloqueados: $(pfctl -t ossec -T show | wc -l) \n\n"
> >
> > Para acompanhar os bloqueios eu uso o BASE + PostgreSQL.
> >
> > É isso, abraço!!!
> >
> >
> >
> > --
> >
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson at focusautomacao.com.br
> >
> >
> >
> > Powered by ....
> >
> > (__)
> > \\\'',)
> > \/ \ ^
> > .\._/_)
> >
> > www.FreeBSD.org
> >
> > ----- Original Message -----
> > From: "mantunes" <mantunes.listas at gmail.com>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd at fug.com.br>
> >
> > Sent: Thursday, February 21, 2008 11:26 AM
> > Subject: Re: [FUG-BR] RES: Filtro L7
> >
> >
> > Waelkson,
> >
> > vc notou alguma diferença entre a mudaça do ossec de ipfw para pf ? o
> > snort_inline tambem pode ser usado um pf ??
> >
> >
> >
> > Em 21/02/08, Welkson Renny de Medeiros<welkson at focusautomacao.com.br>
> > escreveu:
> > > Bom dia Tiago!
> > >
> > >
> > > Será o "artigo do ano" rsrsrs...
> > >
> > > snort_inline nunca usei... uso o ossec... mas não trato p2p... só
> > outros
> > > tipos de ataque (web, sql, etc)... usava o ossec integrado ao ipfw,
> > agora
> > > estou usando com pf.
> > >
> > >
> > >
> > > --
> > > Welkson Renny de Medeiros
> > > Focus Automação Comercial
> > > Desenvolvimento / Gerência de Redes
> > > welkson at focusautomacao.com.br
> > >
> > >
> > >
> > > Powered by ....
> > >
> > > (__)
> > > \\\'',)
> > > \/ \ ^
> > > .\._/_)
> > >
> > > www.FreeBSD.org
> > >
> > >
> > > ----- Original Message -----
> > > From: "mantunes" <mantunes.listas at gmail.com>
> > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > > <freebsd at fug.com.br>
> > >
> > > Sent: Thursday, February 21, 2008 10:25 AM
> > > Subject: Re: [FUG-BR] RES: Filtro L7
> > >
> > >
> > >
> > > isso tiago, será de grande utilidade essa solução para lista.
> > >
> > > Estamos esperando.
> > >
> > > Em 21/02/08, Tiago Isic Brasil<tiago at isic.com.br> escreveu:
> > > > Bom dia!
> > > >
> > > > Lista, seguinte com a ajuda do sr. Patrick consegui jogar o trafego
> > > > identificado como p2p pelo snort_inline para as regras do ipfw.
> > Valeu
> > > > Patrick, agora vou começar a customizar as rules do snort para ver
> > se
> > > > pego mais do que o Emule no trafego.
> > > >
> > > >
> > > > Prometo montar um tutorial descrevendo o processo de bloqueio do
> > p2p
> > > via
> > > > ipfw com snort_inline.
> > > >
> > > >
> > > > att
> > > > Tiago ISIC Brasil
> > > >
> > > >
> > > >
> > > >
> > > >
> > > > Em Qua, 2008-02-20 às 17:49 -0300, Patrick Tracanelli escreveu:
> > > >
> > > > > Seguinte, numa olhada rapida esta tudo OK entao vamos direto a
> > causa
> > > > > mais provavel, as regras
> > > > >
> > > > > include $RULE_PATH/p2p.rules
> > > > > include $RULE_PATH/bleeding-p2p.rules
> > > > >
> > > > > Estao modificadas pra ter a ação reinject?
> > > > >
> > > > > Por exemlo, minhas regras de filtro do eDonkey/eMule da vida:
> > > > >
> > > > > reinject tcp $EXTERNAL_NET 1024:65535 -> $HOME_NET 4660:4799
> > > > > (msg:"FBSDBR P2P Edonkey Server Status"; flow:established;
> > dsize:14;
> > > > > content:"|e3 09 00 00 00 34|"; depth:6;
> > classtype:policy-violation;
> > > > >
> > reference:url,www.giac.org/certified_professionals/practicals/gcih
> > > > >
> > > > > /0446.php; sid:3003324; rev:1;)
> > > > >
> > > > > Note o reinject no inicio da regra.
> > > > >
> > > > > Faca um sed pra trocar de todas as suas regras.
> > > > >
> > > > >
> > > > >
> > > > > Tiago Isic Brasil escreveu:
> > > > > > Boa tarde!
> > > > > >
> > > > > > Sr. Patrick, estou testando o snort_inline + ipfw como descrito
> > no
> > > > seu
> > > > > > email de resposta a lista referente ao bloqueio do P2P , só que
> > > não
> > > > > > estou tendo muito sucesso.
> > > > > >
> > > > > > Eu queria só que você checasse onde pode estar errado e me dar
> > um
> > > > toque
> > > > > > no que pode-se ser realizado.
> > > > > > Quando concluir os testes poderei descrever para a lista o
> > > processo
> > > > da
> > > > > > instalação e configuração dos arquivos.
> > > > > >
> > > > > > Abaixo está minhas regras de firewall
> > > > > >
> > > > > >
> > > > > > Lembrando que está sendo realizado NAT com natd
> > > > > >
> > > >
> > #######################################################################
> > > > > > cmd="ipfw -q add"
> > > > > >
> > > > > > #Interfaces de rede
> > > > > > int1="xl0"
> > > > > > ext1="fxp0"
> > > > > > skip="skipto 900"
> > > > > > network1="192.168.90.0/24"
> > > > > >
> > > > > > #Libera trafego de qualquer lugar para lo0
> > > > > > $cmd 11 allow ip from any to any via lo0
> > > > > >
> > > > > > #Bloqueia trafego de qualquer lugar para 127.0.0.0/8
> > > > > > $cmd 12 deny ip from any to 127.0.0.0/8
> > > > > >
> > > > > > #Bloqueia trafego de 127.0.0.0/8 para qualqier lugar
> > > > > > $cmd 13 deny ip from 127.0.0.0/8 to any
> > > > > >
> > > > > > #Aqui está a regra pelo que entendi no email do Patrick, que é
> > > > enviar
> > > > > > tudo que esteja tagged 30 para a regra de nr. 65500
> > > > > > $cmd 14 skipto 65500 log all from any to any tagged 30
> > > > > >
> > > > > > #Libera o serviço SSH
> > > > > > $cmd 16 allow tcp from any to me 22 in via $ext1
> > > > > >
> > > > > > #Conexoes já estabilizadas vao para a regra de divert
> > > > > > $cmd 103 $skip tcp from any to any established
> > > > > >
> > > > > > #Aqui está a minha duvida. A regra 900 recebe o trafego, blz,
> > mas
> > > se
> > > > eu
> > > > > > omitir ela e apenas usar a regra nr 901 não funciona nada.
> > > > > > #Quando inicio o snort ele abre o socket divert na porta 8000
> > > > > > $cmd 900 divert 8668 log ip4 from any to any
> > > > > > $cmd 901 divert 8000 log all from any to any
> > > > > >
> > > > > > #Permite trafego de qualquer lugar para qualquer lugar.
> > > > > > $cmd 1000 allow log ip from any to any
> > > > > >
> > > > > >
> > > > > > #Como descrito no email do Patrick, o que for identificado pelo
> > > > > > snort_inline, vai para a regra 65500
> > > > > > $cmd 65499 deny log all from any to any
> > > > > > $cmd 65500 count tag 30 log all from any to any keep-state
> > > > > >
> > > > > > #Bloqueia qualquer trafego de qualquer lugar
> > > > > > $cmd 65534 deny log ip from any to any
> > > > > >
> > > >
> > >
> > ########################################################################
> > > > > >
> > > > > >
> > > > > > Meu snort_inline.conf
> > > > > >
> > > >
> > #######################################################################
> > > > > >
> > > > > > #Redes
> > > > > >
> > > > > > var HOME_NET [192.168.90.0/24]
> > > > > >
> > > > > > var HONEYNET any
> > > > > > var EXTERNAL_NET any
> > > > > > var SMTP_SERVERS any
> > > > > > var TELNET_SERVERS any
> > > > > > var HTTP_SERVERS any
> > > > > > var SQL_SERVERS any
> > > > > > var HTTP_PORTS 80
> > > > > > var SHELLCODE_PORTS !80
> > > > > > var DNS_SERVERS any
> > > > > >
> > > > > > #Manda para o ipfw
> > > > > >
> > > > > > config ipfw_reinject_rule: 65500
> > > > > >
> > > > > > var RULE_PATH /usr/local/share/snort_inline/rules
> > > > > >
> > > > > > preprocessor flow: stats_interval 0 hash 2
> > > > > > output alert_fast: inline_fast
> > > > > >
> > > > > > include /usr/local/share/snort_inline/classification.config
> > > > > > include /usr/local/share/snort_inline/reference.config
> > > > > >
> > > > > >
> > > > > > include $RULE_PATH/p2p.rules
> > > > > > include $RULE_PATH/bleeding-p2p.rules
> > > > > >
> > > > > >
> > > >
> > >
> > ###############################################################################
> > > > > >
> > > > > > O que está acontencendo é o seguinte, no log do snort apareceu
> > a
> > > > > > identificaçao do trafego dos testes que realizei com os
> > programas
> > > > mais
> > > > > > conhecidos como Emule,DreMule.
> > > > > > Mas nada foi enviado para a regra:
> > > > > >
> > > > > > #ipfw show
> > > > > >
> > > > > > 00011 0 0 allow ip from any to any via lo0
> > > > > > 00012 0 0 deny ip from any to 127.0.0.0/8
> > > > > > 00013 0 0 deny ip from 127.0.0.0/8 to any
> > > > > > 00014 0 0 skipto 65500 log logamount 100 ip from any
> > to
> > > any
> > > > > > tagged 30
> > > > > > 00020 2 156 allow icmp from any to any
> > > > > > 00103 4772 2137400 skipto 900 tcp from any to any established
> > > > > > 00900 5622 2237029 divert 8668 log logamount 100 ip4 from any
> > to
> > > any
> > > > > > 00901 5622 2237029 divert 8000 log logamount 100 ip from any to
> > > any
> > > > > > 01000 5622 2237029 allow log logamount 100 ip from any to any
> > > > > > 65499 0 0 deny log logamount 100 ip from any to any
> > > > > > 65500 0 0 count log logamount 100 tag 30 ip from any
> > to
> > > any
> > > > > > keep-state
> > > > > > 65534 0 0 deny log logamount 100 ip from any to any
> > > > > > 65535 0 0 deny ip from any to any
> > > > > >
> > > > > > Bom queria uma orientação no que posso fazer.
> > > > > >
> > > > > > Desde já agradeço
> > > > > >
> > > > > > Tiago ISIC Brasil
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > -------------------------
> > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >
> > > > >
> > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > >
> > > --
> > > Marcio Antunes
> > > Powered by FreeBSD
> > > ==================================
> > > * Windows: "Where do you want to go tomorrow?"
> > > * Linux: "Where do you want to go today?"
> > > * FreeBSD: "Are you, guys, comming or what?"
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> > --
> > Marcio Antunes
> > Powered by FreeBSD
> > ==================================
> > * Windows: "Where do you want to go tomorrow?"
> > * Linux: "Where do you want to go today?"
> > * FreeBSD: "Are you, guys, comming or what?"
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
> --
> Marcio Antunes
> Powered by FreeBSD
> ==================================
> * Windows: "Where do you want to go tomorrow?"
> * Linux: "Where do you want to go today?"
> * FreeBSD: "Are you, guys, comming or what?"
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"
Mais detalhes sobre a lista de discussão freebsd