Re: [FUG-BR] OSSEC

Tue, 27 Mar 2007 11:22:20 -0800 

Certo amigo, então eu precisaria do snort para trabalhar em conjunto
com o ossec e então gerar as regras no firewall?

Em 27/03/07, Welkson Renny de Medeiros<[EMAIL PROTECTED]> escreveu:
> Oi Rafael,
>
>
> Eu usava a versão 0.9, funcionava direitinho, recentemente atualizei para
> 1.1, também fiquei na dúvida sobre o Active Response com IPFW, mas funfa...
> para testar fiz o seguinte, deixei o snort e o ossec ligado, conectei em um
> bsd de um outro cliente e rodei um nikto para testar falhas no meu
> servidor... depois de alguns testes executados o snort detectou uma
> tentativa de invasão, gerou o log no /var/log/snort/alert, o ossec leu e na
> mesma hora bloqueou o ip do cliente pelo ipfw (ele inclui o ip do atacante
> na table 1 - ipfw table 1 list)... funfou 100%... ele também inclui o ip no
> /etc/hosts.deny, mas eu retirei esse script, prefiro só no ipfw mesmo.
>
> Abraço,
>
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> [EMAIL PROTECTED]
>
>
>
>                       Powered by ....
>
>                                            (__)
>                                         \\\'',)
>                                           \/  \ ^
>                                           .\._/_)
>
>                                       www.FreeBSD.org
>
>
>
> ----- Original Message -----
> From: "Rafael Busetti" <[EMAIL PROTECTED]>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd@fug.com.br>
> Sent: Tuesday, March 27, 2007 3:58 PM
> Subject: [FUG-BR] OSSEC
>
>
> Boa tarde pessoal,
>
> To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o
> funcionamento dele ... ele envia email, consegui trabalhar com ele
> tranquilamente, porém em questão do Active-Responde eu não estou
> conseguindo fazer ele funcionar ... precisa fazer alguma configuração
> mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW
> são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar
> para especificar isso para o OSSEC ... como sei se está funcionadno
> está parte?
>
> OBrigado!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Responder a