Patrick Tracanelli escreveu: > Augusto Ferronato escreveu: > >> Dê um lida nesse material >> >> www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf >> >> Abs[] >> > > Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem > gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q > ser tunado o iptraf pra evitar problemas, depois de tunado fica fino). > > Usei Snort+OSSEC durante um bom tempo (no início do OSSEC ajudei a portar as regras de firewall do Linux para FreeBSD... versão IPFW... depois fizeram em PF... e melhoraram minhas regras em IPFW que não usavam tables).
Instalei também o BASE... ficou bem legal... No meu caso, tive muitos problemas com falsos alertas... o snort gerava um log alertando um cabeçalho com tamanho grande por exemplo... o ossec lia o log, e já chamava o active-response, que bloqueava o IP... o problema é que em 90% dos casos não era ataque... acabava bloqueando clientes e me dando uma enorme dor de cabeça =) Fui mexendo nos rules do snort, até que deixou de acontecer... depois perdi o servidor (queimou), instalei o freebsd novo e não tive tempo de voltar a brincar com Snort+OSSEC. Me diverti muito conectando em freebsd de amigos, e rodando NMAP no meu... em poucos segundos a conexão caía (era bloqueada)... ou até mesmo rodando um nikto no servidor web... é bem legal! -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd