gostaria de uma forma apenas de acompanhar o trafego quando precisar, para identificar possiveis usuarios que estejam utilizando esses programas .. alguma forma de analisar o trafego ..e identificar isso .
Att, *Marcel Laino* Vivo: (11) 95287-5837 [email protected] facebook.com/marcellaino <http://Facebook.com/marcellaino> youtube.com/marcellaino br.linkedin.com/in/marcellaino google.com/+MarcelLaino 2014-06-10 10:14 GMT-03:00 Victor Franca <[email protected]>: > O Snort é um IPS > > Um IPS tem a função de analizar comportamentos estranhos baseados em uma > métrica configurada por você. > > É possivel, por exemplo configurar o Snort para "escutar" na sua placa WAN > e monitorar requisições de abertura de conexão (SYN). Caso muitas conexões > estejam sendo abertas em um curto período de tempo, o snort caracteriza > esse endereço IP como um possível atacante (Técnica de syn flood) e o > bloqueia por um período configurado por você. > > Você também pode configurar na placa LAN. > > O que sei sobre os programs tor e Ultrasurf é que eles abrem muitas > conexões do tipo HTTPS. Isso é característico deles. Se você configurar > bem o Snort, você conseguirá bloquear os endereços IPs da rede interna de > se comunicar com a internet. > > Tenha em mente que isso deve ser informado aos usuários, porquê o Snort > pelo que me falaram, bloqueia totalmente a internet do computador ok? > > > Em 10 de junho de 2014 10:09, Marcel Laino <[email protected]> > escreveu: > > > vc fala usar o snort dentro do pfsense certo ? seria uma forma de > > identificar quem esta utilizando esse tipo de aplicação ? consigo fazer > um > > scaner da rede com o snort ? > > > > Att, > > > > *Marcel Laino* > > Vivo: (11) 95287-5837 > > [email protected] > > facebook.com/marcellaino <http://Facebook.com/marcellaino> > > youtube.com/marcellaino > > br.linkedin.com/in/marcellaino > > google.com/+MarcelLaino > > > > > > 2014-06-10 10:07 GMT-03:00 Victor Franca <[email protected]>: > > > > > Outra dica é usar um IPS, mas nunca configurei o Snort. > > > > > > > > > > > > Em 10 de junho de 2014 10:05, Marcel Laino <[email protected]> > > > escreveu: > > > > > > > vlw pelas dicas victor .. eu assisti esse hangout, vou ver se vejo > > > > novamente .. mesmo assim é muito trabalho bloquear dessa forma .. ip > > por > > > ip > > > > .. a lista é gigante. > > > > estou pensando em uma forma facil de tempos em tempos escanear a rede > > > para > > > > saber se os usuarios estao executando algum programa do tipo e caso > > > > encontre eles serao notificados..ou em ultimo caso mandar embora. > > > acredito > > > > ser a melhor forma. > > > > > > > > alguem tem alguma dica de como fazer esse escaner na rede, atraves de > > > > alguma aplicação, ou de preferencia atraves do pfsense .. > > > > > > > > Att, > > > > > > > > *Marcel Laino* > > > > Vivo: (11) 95287-5837 > > > > [email protected] > > > > facebook.com/marcellaino <http://Facebook.com/marcellaino> > > > > youtube.com/marcellaino > > > > br.linkedin.com/in/marcellaino > > > > google.com/+MarcelLaino > > > > > > > > > > > > 2014-06-10 10:01 GMT-03:00 Victor Franca < > [email protected] > > >: > > > > > > > > > Eu prefiro usar o site bgp.he.net ao invés desse > www.iblocklist.com. > > > > > Marcel, não tem forma fácil de fazer o que você precisa. > > > > > > > > > > Esses sites são para você pegar a lista de endereços IPs baseado no > > que > > > > > você procura nele. Se você procurar por Facebook, eles vão lhe dar > > uma > > > > > lista de IPs relacionadas ao facebook, aí você terá que usar o > > CTRL+C e > > > > > CTRL+V para criar alias para regras de firewall. > > > > > > > > > > Funciona por um tempo até lançarem outra versão do programa. > > > > > > > > > > Como falei, o Ideal é bloquear totalmente o tráfego de saída HTTPS > e > > > > > liberar apenas para os endereços IPs dos bancos. > > > > > > > > > > Também tem a opção de utilizar o squid3-dev como falei. Segue o > > passo > > > a > > > > > passo do link. (Bloqueio HTTPS é bastante complicado e você com > > certeza > > > > > terá vários problemas. Teste em um ambiente de homologação antes). > > > > > > > > > > Com relação ao traffic Shapping, seria você identificar os > endereços > > > IPs > > > > do > > > > > TOR e limitar a banda dele sacou? Pega no Youtube o Hangout > tutorial > > > > > Traffic Shapping do Guga :) > > > > > > > > > > > > > > > Em 10 de junho de 2014 09:32, Marcel Laino <[email protected]> > > > > > escreveu: > > > > > > > > > > > vamos la.. existe algum jeito de adicionar essa lista de ip de > uma > > só > > > > > vez ? > > > > > > o traffic shaper não é para dar prioridade no trafego ? como > > > > bloquearia o > > > > > > tor nele .. > > > > > > > > > > > > Att, > > > > > > > > > > > > *Marcel Laino* > > > > > > Vivo: (11) 95287-5837 > > > > > > [email protected] > > > > > > facebook.com/marcellaino <http://Facebook.com/marcellaino> > > > > > > youtube.com/marcellaino > > > > > > br.linkedin.com/in/marcellaino > > > > > > google.com/+MarcelLaino > > > > > > > > > > > > > > > > > > 2014-06-10 8:49 GMT-03:00 Joaquim de Jesus Soares < > > > > > > [email protected]>: > > > > > > > > > > > > > Existe o pacote squid-dev que intercepta trafego https ainda > não > > > > > testei > > > > > > > Outra ferramenta e pfbloker tem varias lista de IPs atualizada > > > para > > > > > tudo > > > > > > > https://www.iblocklist.com/search.php?string=TOR > > > > > > > não é perfeita mais ajuda bastante. > > > > > > > Pode ainda usar o sort ira detectar fluxo de torrente e pode > > > colocar > > > > a > > > > > > > maquina em quarentena > > > > > > > e ainda o traffic share > > > > > > > > > > > > > > ----- Mensagem original ----- > > > > > > > De: "Victor Franca" <[email protected]> > > > > > > > Para: "Lista em Português sobre pfSense" < > > > > [email protected] > > > > > > > > > > > > > Enviadas: Segunda-feira, 9 de junho de 2014 21:34:13 > > > > > > > Assunto: Re: [Pfsense-pt] bloqueio rede Tor > > > > > > > > > > > > > > Exatamente, não tem como bloquear isso sem contratempos. O > > ideal é > > > > > você > > > > > > > ver os endereços dos bancos e criar regras de exceção para não > > > > > bloquear o > > > > > > > que você não quer > > > > > > > > > > > > > > Enviado do meu LG Nexus 4 > > > > > > > Em 09/06/2014 21:31, "Marcel Laino" <[email protected]> > > > > escreveu: > > > > > > > > > > > > > > > o problema são os bancos .., até liberar todos acessos fica > > > > > complicado > > > > > > .. > > > > > > > > > > > > > > > > Att, > > > > > > > > > > > > > > > > *Marcel Laino* > > > > > > > > Vivo: (11) 95287-5837 > > > > > > > > [email protected] > > > > > > > > facebook.com/marcellaino <http://Facebook.com/marcellaino> > > > > > > > > youtube.com/marcellaino > > > > > > > > br.linkedin.com/in/marcellaino > > > > > > > > google.com/+MarcelLaino > > > > > > > > > > > > > > > > > > > > > > > > 2014-06-09 20:46 GMT-03:00 Victor Franca < > > > > > [email protected] > > > > > > >: > > > > > > > > > > > > > > > > > Você está confundindo regras de firewall com proxy. > > > > > > > > > > > > > > > > > > O que você pode fazer é bloquear totalmente a porta https e > > > > liberar > > > > > > > > apenas > > > > > > > > > para o que você utiliza em seu ambiente. > > > > > > > > > > > > > > > > > > Geralmente quem usa proxy ativo já faz isso > > > > > > > > > > > > > > > > > > Bloquear tor e ultrasurf é complicado. > > > > > > > > > > > > > > > > > > Enviado do meu LG Nexus 4 > > > > > > > > > Em 09/06/2014 20:19, "Marcel Laino" <[email protected] > > > > > > > > escreveu: > > > > > > > > > > > > > > > > > > > utilizo pfsense + squid + squidguard. proxy autenticado. > > > > > > > > > > > > > > > > > > > > mais quais endereços/ portas devem ser bloqueados ? vi > num > > > site > > > > > > mais > > > > > > > > de 5 > > > > > > > > > > mil endereços para bloquear.. > > > > > > > > > > > > > > > > > > > > Att, > > > > > > > > > > > > > > > > > > > > *Marcel Laino* > > > > > > > > > > Vivo: (11) 95287-5837 > > > > > > > > > > [email protected] > > > > > > > > > > facebook.com/marcellaino < > http://Facebook.com/marcellaino> > > > > > > > > > > youtube.com/marcellaino > > > > > > > > > > br.linkedin.com/in/marcellaino > > > > > > > > > > google.com/+MarcelLaino > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > 2014-06-09 18:25 GMT-03:00 Victor Franca < > > > > > > > [email protected] > > > > > > > > >: > > > > > > > > > > > > > > > > > > > > > Provavelmente utilizando proxy autenticado ou proxy > > > > > transparente > > > > > > > > https > > > > > > > > > > pelo > > > > > > > > > > > pacote squid3-dev > > > > > > > > > > > > > > > > > > > > > > Para configurar proxy transparente + interceptação > HTTPS, > > > > siga > > > > > as > > > > > > > > > > > instruções desse link > > > > > > > > > > > > > > > > > > > > > > http://nextsense.com.br/blog/archives/1866 > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > Em 09/06/2014 15:16, "Marcel Laino" < > > [email protected] > > > > > > > > > > > > escreveu: > > > > > > > > > > > > > > > > > > > > > > > Pessoal, > > > > > > > > > > > > > > > > > > > > > > > > estou com esse problema aqui. peguei usuario usando > um > > > exe > > > > > para > > > > > > > > > abrir o > > > > > > > > > > > > navegador e conectar na rede Tor. > > > > > > > > > > > > como faço o bloqueio pelo pfsense. > > > > > > > > > > > > > > > > > > > > > > > > Att, > > > > > > > > > > > > > > > > > > > > > > > > *Marcel Laino* > > > > > > > > > > > > Vivo: (11) 95287-5837 > > > > > > > > > > > > [email protected] > > > > > > > > > > > > facebook.com/marcellaino < > > > http://Facebook.com/marcellaino> > > > > > > > > > > > > youtube.com/marcellaino > > > > > > > > > > > > br.linkedin.com/in/marcellaino > > > > > > > > > > > > google.com/+MarcelLaino > > > > > > > > > > > > _______________________________________________ > > > > > > > > > > > > Pfsense-pt mailing list > > > > > > > > > > > > [email protected] > > > > > > > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > > > > > > > > > > > > > > > > > _______________________________________________ > > > > > > > > > > > Pfsense-pt mailing list > > > > > > > > > > > [email protected] > > > > > > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > > > > > > > > > > > > > > > _______________________________________________ > > > > > > > > > > Pfsense-pt mailing list > > > > > > > > > > [email protected] > > > > > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > > > > > > > > > > > > > _______________________________________________ > > > > > > > > > Pfsense-pt mailing list > > > > > > > > > [email protected] > > > > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > > > > > > > > > > > _______________________________________________ > > > > > > > > Pfsense-pt mailing list > > > > > > > > [email protected] > > > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > > > > > > > > > _______________________________________________ > > > > > > > Pfsense-pt mailing list > > > > > > > [email protected] > > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > _______________________________________________ > > > > > > > Pfsense-pt mailing list > > > > > > > [email protected] > > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > > > > > > > _______________________________________________ > > > > > > Pfsense-pt mailing list > > > > > > [email protected] > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > > > > > > > > > > > > > > > > > > > > -- > > > > > .................................................................. > > > > > Atenciosamente > > > > > > > > > > > > > > > Victor França > > > > > > > > > > Analista de Suporte > > > > > > > > > > EW Informática > > > > > > > > > > Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro. > > > > > > > > > > +55 21 93203 - 0368 (Opção 5) > > > > > +55 21 99936 - 7575 (VIVO) > > > > > > > > > > e-mail: [email protected] > > > > > GTalk: [email protected] > > > > > _______________________________________________ > > > > > Pfsense-pt mailing list > > > > > [email protected] > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > > > _______________________________________________ > > > > Pfsense-pt mailing list > > > > [email protected] > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > > > > > > > > > > -- > > > .................................................................. > > > Atenciosamente > > > > > > > > > Victor França > > > > > > Analista de Suporte > > > > > > EW Informática > > > > > > Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro. > > > > > > +55 21 93203 - 0368 (Opção 5) > > > +55 21 99936 - 7575 (VIVO) > > > > > > e-mail: [email protected] > > > GTalk: [email protected] > > > _______________________________________________ > > > Pfsense-pt mailing list > > > [email protected] > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > _______________________________________________ > > Pfsense-pt mailing list > > [email protected] > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > -- > .................................................................. > Atenciosamente > > > Victor França > > Analista de Suporte > > EW Informática > > Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro. > > +55 21 93203 - 0368 (Opção 5) > +55 21 99936 - 7575 (VIVO) > > e-mail: [email protected] > GTalk: [email protected] > _______________________________________________ > Pfsense-pt mailing list > [email protected] > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
