[FUG-BR] Layer 7 no FreeBSD
Fernando Buzon Macedo
fernando em bebedouro.sp.gov.br
Quinta Setembro 24 13:37:49 BRT 2009
Precisa ver qual é a sua real necessidade, as vezes pra fazer o que
você quer não precisa ser pela camada 7.
Pois geralmente as regras de camada 7 a gente aplica para servidores
ou aplicações de forma geral, sem ter que fazer regras diferentes por
grupos de usuários.
Mas de qualquer forma, da uma olhada la nas rules dele, vc vai ver que
são feitas com base em variáveis como HOME_NET, EXTERNAL_NET,
SMTP_SERVERS e assim por diante.
Essas variáveis são definidas no snort.conf
Você pode criar variáveis novas para utiliza-las nas regras ou mesmo
criar regras personalizadas sem variaveis, ja colocando os ips direto
na regra, vc quem manda.
Olha aqui o exemplo:
no snort.conf:
var HOME_NET [192.168.0.0/24]
var EXTERNAL_NET any
As regras no Snort tambem obedecem a um modelo:
<tipo_de_alerta> <protocolo> <rede_origem> <porta_origem> ->
<rede_destino> <porta_destino> (Cabeçalho da Regra; Opções;9sid:X;...);
Um exemplo bem simples de regra:
alert tcp $EXTERNAL_NET any -> 192.168.1.0/24 111 (content:"|00 01 86
a5|"; msg:"mountd access";sid:11)
Ai também tem o seguinte, eu uso o snort inline (ele ouve numa porta e
eu logo no inicio do firewall faço um divert pra ele)
dessa forma, na regra eu mudo o alert para drop, caso contrário ele
apenas loga e não corta a conexão.
Acho a melhor opção, porém tem o flexresp2 também, nativo do snort,
onde ele envia um pacote por exemplo de reset para a origem e assim
interrompe a conexão também (é configurável essa resposta, caso se
interesse procure mais a respeito).
O pf sense acredito que não vai ser descontinuado não.
Ele não é um "concorrente do snort" é uma interface gráfica para
escrever firewalls apenas.
Boa sorte.
abs.
Em 24/09/2009, às 12:59, thiagomespb escreveu:
> será que o snort faz regras por grupo de usuarios ou bloqueio geral ?
> outra duvida é ele bloqueia aplicação ou o ip do usuario :
>
> No caso do pfsense eu olhei, tem na versao 2.0 tanto em freebsd
> 7.2 ou 8.0 não sei se vão descontinuar não..
>
>
> 2009/9/24 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>:
>> Luiz Gustavo S. Costa escreveu:
>>> O pfsense usa isso aqui:
>>>
>>> http://lists.freebsd.org/pipermail/freebsd-net/2008-July/019086.html
>>> http://roadtoqos.wordpress.com/2008/11/13/ipfw-classifyd/
>>>
>>> da uma olhada ai
>>>
>>>
>> A solução é baseada no l7-filter do Linux, até as REGRAS são as
>> mesmas.
>>
>> Eu não cheguei a testar, mas todos falaram que é bem legal.
>>
>> Patrick fez alguns testes mais pesados e o bicho não aguentou....
>>
>> Pelo que vi só saiu essa versão mesmo, o desenvolvedor não fez
>> nenhuma
>> melhoria.
>>
>> --
>> Welkson Renny de Medeiros
>> Focus Automação Comercial
>> Desenvolvimento / Gerência de Redes
>> welkson em focusautomacao.com.br
>>
>>
>>
>> Powered by ....
>>
>> (__)
>> \\\'',)
>> \/ \ ^
>> .\._/_)
>>
>> www.FreeBSD.org
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> Thiago Gomes
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd