Re: [FUG-BR] Firewall Pró Ativo
Tenho o bruteblock em alguns servidores para controle de conexão no smtp, ele le o arquivo de log e adiciona automaticamente o ip com um determinado numero de conexões em uma tabela do ipfw. Joao, voce poderia enviar os arquivos de configuração para ssh e ftp? 2010/3/17 Davi Vercillo C. Garcia davivcgar...@bsd.com.br: Fala pessoal, Sua indagação despertou em mim a curiosidade de saber como softwares como fail2ban interagem com PF ou IPtables. De acordo com o site oficial... Eu uso o BruteBlock para bloquear IPs que tentam fazer muito ssh e muito ftp, e obtém erros de conexão. Ele recebe do syslog as mensagens de erro, compara com uma regex, e coloca em uma table se passa de um número de tentativas em um determinado tempo. Mas no final de 2006 fiz um outro uso para ele. Eu fiz uma regex para verificar setup de conexão a uma porta TCP 25, e se tiver muitas tentativas em 1 minuto, ele coloca em uma table que é usada em uma regra que proíbe conexões SMTP. A quem interessar, eu posso mandar os arquivos de regras. João Rocha. Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address. Achei bem legal... não conhecia essa ferramenta... =P Abraços, -- Davi Vercillo C. Garcia http://www.google.com/profiles/davivcgarcia Waste time in learning things that do not interest us, deprives us of discovering interesting things. - Carlos Drummond de Andrade - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Olá Lista, já olhou alguma coisa sobre o http://www.ossec.net/ Em 18 de março de 2010 08:13, Felipe N. Oliva felipe.n...@yahoo.com.brescreveu: Tenho o bruteblock em alguns servidores para controle de conexão no smtp, ele le o arquivo de log e adiciona automaticamente o ip com um determinado numero de conexões em uma tabela do ipfw. Joao, voce poderia enviar os arquivos de configuração para ssh e ftp? 2010/3/17 Davi Vercillo C. Garcia davivcgar...@bsd.com.br: Fala pessoal, Sua indagação despertou em mim a curiosidade de saber como softwares como fail2ban interagem com PF ou IPtables. De acordo com o site oficial... Eu uso o BruteBlock para bloquear IPs que tentam fazer muito ssh e muito ftp, e obtém erros de conexão. Ele recebe do syslog as mensagens de erro, compara com uma regex, e coloca em uma table se passa de um número de tentativas em um determinado tempo. Mas no final de 2006 fiz um outro uso para ele. Eu fiz uma regex para verificar setup de conexão a uma porta TCP 25, e se tiver muitas tentativas em 1 minuto, ele coloca em uma table que é usada em uma regra que proíbe conexões SMTP. A quem interessar, eu posso mandar os arquivos de regras. João Rocha. Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address. Achei bem legal... não conhecia essa ferramenta... =P Abraços, -- Davi Vercillo C. Garcia http://www.google.com/profiles/davivcgarcia Waste time in learning things that do not interest us, deprives us of discovering interesting things. - Carlos Drummond de Andrade - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- atenciosamente, Franklin de França - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
João, Gostaria de receber os arquivos. Obrigado, Marcos Ferreira A quem interessar, eu posso mandar os arquivos de regras. João Rocha. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Marcos Ferreira escreveu: João, Manda pra lista pra ficar documentado Pode ser? Abraço Evaldo fcm.unicamp.br Gostaria de receber os arquivos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Dê um lida nesse material www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf Abs[] Em 18 de março de 2010 09:46, Evaldo Silva eva...@fcm.unicamp.br escreveu: Marcos Ferreira escreveu: João, Manda pra lista pra ficar documentado Pode ser? Abraço Evaldo fcm.unicamp.br Gostaria de receber os arquivos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- http://www.augustoferronato.net FreeBSD: The Freedom to Perform! http://www.spreadbsd.org/aff/40/1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Augusto Ferronato escreveu: Dê um lida nesse material www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf Abs[] Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q ser tunado o iptraf pra evitar problemas, depois de tunado fica fino). -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Patrick Tracanelli escreveu: Augusto Ferronato escreveu: Dê um lida nesse material www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf Abs[] Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q ser tunado o iptraf pra evitar problemas, depois de tunado fica fino). Usei Snort+OSSEC durante um bom tempo (no início do OSSEC ajudei a portar as regras de firewall do Linux para FreeBSD... versão IPFW... depois fizeram em PF... e melhoraram minhas regras em IPFW que não usavam tables). Instalei também o BASE... ficou bem legal... No meu caso, tive muitos problemas com falsos alertas... o snort gerava um log alertando um cabeçalho com tamanho grande por exemplo... o ossec lia o log, e já chamava o active-response, que bloqueava o IP... o problema é que em 90% dos casos não era ataque... acabava bloqueando clientes e me dando uma enorme dor de cabeça =) Fui mexendo nos rules do snort, até que deixou de acontecer... depois perdi o servidor (queimou), instalei o freebsd novo e não tive tempo de voltar a brincar com Snort+OSSEC. Me diverti muito conectando em freebsd de amigos, e rodando NMAP no meu... em poucos segundos a conexão caía (era bloqueada)... ou até mesmo rodando um nikto no servidor web... é bem legal! -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Obrigado a todos pela contribuição. Irei dar uma olhada no snort + ossec . Saudações, Em 18 de março de 2010 12:01, Welkson Renny de Medeiros welk...@focusautomacao.com.br escreveu: Patrick Tracanelli escreveu: Augusto Ferronato escreveu: Dê um lida nesse material www.dynsec.com.br/arquivos/ossec-snort-activeresponse_pt-BR.pdf Abs[] Gosto desse setup, junto a qualquer setup com Snort+SnortSam. Tambem gosto e aconselho o setup ossec+iptraf+activeresponse (mas esse tem q ser tunado o iptraf pra evitar problemas, depois de tunado fica fino). Usei Snort+OSSEC durante um bom tempo (no início do OSSEC ajudei a portar as regras de firewall do Linux para FreeBSD... versão IPFW... depois fizeram em PF... e melhoraram minhas regras em IPFW que não usavam tables). Instalei também o BASE... ficou bem legal... No meu caso, tive muitos problemas com falsos alertas... o snort gerava um log alertando um cabeçalho com tamanho grande por exemplo... o ossec lia o log, e já chamava o active-response, que bloqueava o IP... o problema é que em 90% dos casos não era ataque... acabava bloqueando clientes e me dando uma enorme dor de cabeça =) Fui mexendo nos rules do snort, até que deixou de acontecer... depois perdi o servidor (queimou), instalei o freebsd novo e não tive tempo de voltar a brincar com Snort+OSSEC. Me diverti muito conectando em freebsd de amigos, e rodando NMAP no meu... em poucos segundos a conexão caía (era bloqueada)... ou até mesmo rodando um nikto no servidor web... é bem legal! -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
2010/3/18 Felipe N. Oliva felipe.n...@yahoo.com.br:
Tenho o bruteblock em alguns servidores para controle de conexão no
smtp, ele le o arquivo de log e adiciona automaticamente o ip com um
determinado numero de conexões em uma tabela do ipfw.
Aqui estão. Algumas linhas foram quebradas, mas com um pouco de
atenção pode-se ver como consertar. São basicamente as regex.
ssh.conf:
8x Cut Here Corte aqui
# Sample configuration file for the OpenSSH daemon
# regexp rule. Please rember that you MUST specify only one match for
# ip address to block
#
# this regexp for the OpenSSH server matches lines like:
#
# comment: auth via key only
#sshd[72593]: Illegal user hacker from 1.2.3.4
#
# comment: pwd auth, but no such user
#sshd[72593]: Failed password for illegal user sa from 1.2.3.4
#
# comment: correct user, but wrong password
#sshd[72626]: Failed password for samm from 1.2.3.4
#
# Versao aprimorada de regras implementada em 18/11/2006
# A versao anterior estah num arquivo com a data no final do nome.
regexp = sshd.*Illegal user \S+ from
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
regexp1 = sshd.*Failed password for (?:illegal user )?\S+ from
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
regexp2 = sshd.*Did not receive identification string from
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
regexp3 = sshd.*Invalid user \S+ from
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
regexp4 = sshd.*reverse mapping checking getaddrinfo for .*
.(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}). failed - POSSIBLE BREAK-IN
ATTEMPT!
# Number of failed login attempts within time before we block
max_count = 4
# Time in seconds in which all failed login attempts must occur
# Modificado por Joao Rocha em 30/08/2006.
#within_time = 60
within_time = 300
# Time in seconds to block ip in firewall
# 10 minutes
# Modificado por Joao Rocha em 30/08/2006.
#reset_ip = 600
reset_ip = 14400
# IPFW table number to add bad hosts
# Modificado por Joao Rocha em 30/08/2006.
#ipfw2_table_no = 1
ipfw2_table_no = 0
8x Cut Here Corte aqui
ftp:
8x Cut Here Corte aqui
# Sample configuration file for the ProFTPD daemon
# regexp rule. Please rember that you MUST specify only one match for
# ip address to block
#
# this regexp for the ProFTPD server matches lines like:
#
# proftpd[71905]: server.com (hack.com[1.2.3.4]) - USER hacker: no such user
# proftpd[72020]: server.com (hack.com[1.2.3.4]) - USER hacker (Login failed)
#
# Illegal user test from 10.0.0.1
# Failed password for illegal user x from 10.0.0.1 port x ssh2
# Failed password for x from 10.0.0.1 port x ssh2
#regexp = (?:did not receive identification string
from|illegal user .+ from|failed .+ for (?:illegal user )?.+
from).*\b(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}).*
#regexp=Did not receive identification string from 10.0.0.1
#regexp=proftpd.*\[(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\]\) - USER \S+
(?:no such user|\(Login failed)
regexp =ftpd.*: FTP LOGIN FAILED FROM (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
# Number of failed login attempts within time before we block
max_count = 4
# Time in seconds in which all failed login attempts must occur
#within_time = 60
within_time = 300
# Time in seconds to block ip in firewall
# 10 minutes
#reset_ip = 600
reset_ip = 14400
# IPFW table number to add bad hosts
#ipfw2_table_no = 0
ipfw2_table_no = 0
8x Cut Here Corte aqui
Acrescente a seguinte linha no
8x Cut Here Corte aqui
auth.info;authpriv.info | exec /usr/local/sbin/bruteblock -f
/usr/local/etc/bruteblock/ssh.conf
auth.info | exec /usr/local/sbin/bruteblock -f
/usr/local/etc/bruteblock/ftp.conf
8x Cut Here Corte aqui
João Rocha.
Joao, voce poderia enviar os arquivos de configuração para ssh e ftp?
2010/3/17 Davi Vercillo C. Garcia davivcgar...@bsd.com.br:
Fala pessoal,
Sua indagação despertou em mim a curiosidade de saber como softwares como
fail2ban interagem com PF ou IPtables.
De acordo com o site oficial...
Eu uso o BruteBlock para bloquear IPs que tentam fazer muito ssh
e muito ftp, e obtém erros de conexão. Ele recebe do syslog as
mensagens de erro, compara com uma regex, e coloca em uma
table se passa de um número de tentativas em um determinado
tempo. Mas no final de 2006 fiz um outro uso para ele.
Eu fiz uma regex para verificar setup de conexão a uma porta TCP 25,
e se tiver muitas tentativas em 1 minuto, ele coloca em uma table
que é usada em uma regra que proíbe conexões SMTP.
A quem interessar, eu posso mandar os arquivos de regras.
João Rocha.
Fail2ban scans log files like /var/log/pwdfail or
/var/log/apache/error_log and bans IP that makes too many password
failures. It updates firewall rules to reject the IP address.
Achei bem legal... não conhecia essa ferramenta... =P
Abraços,
--
Davi Vercillo C. Garcia
Re: [FUG-BR] Firewall Pró Ativo
2010/3/18 Evaldo Silva eva...@fcm.unicamp.br:
Marcos Ferreira escreveu:
João,
Manda pra lista pra ficar documentado
Pode ser?
Tem que colocar uma regra como a seguinte:
ipfw add 17000 deny log tcp from 'table(3)' to any 25
ipfw add 17040count log logamount 1 tcp from any to any 25 setup in via em0
No /etc/syslog.conf coloque:
8x Cut Here Corte aqui
security.* | exec /usr/local/sbin/bruteblock -f
/usr/local/etc/bruteblock/spam.conf
8x Cut Here Corte aqui
E o arquivo /usr/local/etc/bruteblock/spam.conf:
8x Cut Here Corte aqui
#regexp = kernel: ipfw: [0-9][0-9]* Count TCP
\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}:[0-9][0-9]* [0-9][0-9]*\.[0-9][0
-9]*\.[0-9][0-9]*\.[0-9][0-9]*:25
regexp = kernel: ipfw: 1[17]040 Count TCP
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):.*:25 in
regexp2 = kernel: ipfw: 40040 Count TCP
(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):.*:25 in
# Number of mail connections attempts within time before we block
max_count = 20
# Time in seconds in which all attempts must occur
within_time = 60
# Time in seconds to block ip in firewall
# Representa na tabela o segundo seguinte ao do bloqueio.
reset_ip = 1
# IPFW table number to add bad hosts
ipfw2_table_no = 3
8x Cut Here Corte aqui
Claro que o número da regra tem que ser de acordo com o seu firewall.
João Rocha.
Abraço
Evaldo
fcm.unicamp.br
Gostaria de receber os arquivos.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Sempre se apanha mais com as menores besteiras. Experiência própria.
goffr...@gmail.com
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Ninguem? Saudações, Em 15 de março de 2010 14:58, Thiago Pollachini thiagopollach...@bsd.com.br escreveu: Olá lista, Alguem tem alguma informação a respeito de firewall pró ativo? Tinha em mente que seria um firewall com IDS só que vi que existem equipamentos com pouca CPU e memória com esse recurso. Saudações, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Olá Thiago, meu dia-a-dia de trabalho esta tendo uma bosa de dose de firewalls camada 3, mas infelizemente não posso contribuir com esse topico de Firewall pró-ativo. Sua indagação despertou em mim a curiosidade de saber como softwares como fail2ban interagem com PF ou IPtables. Estou lendo sobre, em breve poderei contribuir neste espaço. Em 17 de março de 2010 17:45, Thiago Pollachini thiagopollach...@bsd.com.br escreveu: Ninguem? Saudações, Em 15 de março de 2010 14:58, Thiago Pollachini thiagopollach...@bsd.com.br escreveu: Olá lista, Alguem tem alguma informação a respeito de firewall pró ativo? Tinha em mente que seria um firewall com IDS só que vi que existem equipamentos com pouca CPU e memória com esse recurso. Saudações, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Elias Moreira (71) 8156-0850 MSN: elias_j...@hotmail.com Linkedin: http://br.linkedin.com/in/jeliasmoreira - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Obrigado pela contribuição José. Espero que mais fugianos deixem suas idéias, experiências e até mesmo expectativas. Saudações, Em 17 de março de 2010 21:00, josé elias ribeiro moreira jeliasmore...@gmail.com escreveu: Olá Thiago, meu dia-a-dia de trabalho esta tendo uma bosa de dose de firewalls camada 3, mas infelizemente não posso contribuir com esse topico de Firewall pró-ativo. Sua indagação despertou em mim a curiosidade de saber como softwares como fail2ban interagem com PF ou IPtables. Estou lendo sobre, em breve poderei contribuir neste espaço. Em 17 de março de 2010 17:45, Thiago Pollachini thiagopollach...@bsd.com.br escreveu: Ninguem? Saudações, Em 15 de março de 2010 14:58, Thiago Pollachini thiagopollach...@bsd.com.br escreveu: Olá lista, Alguem tem alguma informação a respeito de firewall pró ativo? Tinha em mente que seria um firewall com IDS só que vi que existem equipamentos com pouca CPU e memória com esse recurso. Saudações, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Elias Moreira (71) 8156-0850 MSN: elias_j...@hotmail.com Linkedin: http://br.linkedin.com/in/jeliasmoreira - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
Fala pessoal, Sua indagação despertou em mim a curiosidade de saber como softwares como fail2ban interagem com PF ou IPtables. De acordo com o site oficial... Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address. Achei bem legal... não conhecia essa ferramenta... =P Abraços, -- Davi Vercillo C. Garcia http://www.google.com/profiles/davivcgarcia Waste time in learning things that do not interest us, deprives us of discovering interesting things. - Carlos Drummond de Andrade - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Firewall Pró Ativo
2010/3/17 Davi Vercillo C. Garcia davivcgar...@bsd.com.br: Fala pessoal, Sua indagação despertou em mim a curiosidade de saber como softwares como fail2ban interagem com PF ou IPtables. De acordo com o site oficial... Eu uso o BruteBlock para bloquear IPs que tentam fazer muito ssh e muito ftp, e obtém erros de conexão. Ele recebe do syslog as mensagens de erro, compara com uma regex, e coloca em uma table se passa de um número de tentativas em um determinado tempo. Mas no final de 2006 fiz um outro uso para ele. Eu fiz uma regex para verificar setup de conexão a uma porta TCP 25, e se tiver muitas tentativas em 1 minuto, ele coloca em uma table que é usada em uma regra que proíbe conexões SMTP. A quem interessar, eu posso mandar os arquivos de regras. João Rocha. Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address. Achei bem legal... não conhecia essa ferramenta... =P Abraços, -- Davi Vercillo C. Garcia http://www.google.com/profiles/davivcgarcia Waste time in learning things that do not interest us, deprives us of discovering interesting things. - Carlos Drummond de Andrade - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. goffr...@gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Firewall Pró Ativo
Olá lista, Alguem tem alguma informação a respeito de firewall pró ativo? Tinha em mente que seria um firewall com IDS só que vi que existem equipamentos com pouca CPU e memória com esse recurso. Saudações, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
