Patrick Tracanelli escreveu: > Marcelo M. Fleury escreveu: >> Olá, >> >> até onde eu entendi, o interesse da Cristina é em não ser uma provedora de >> códigos maliciosos, no caso PHP. > > Então entendemos coisas distintas. Ao meu ver ela nao quer q usuarios > internos façam ataque de injection em qualquer q seja o destino/alvo.
Ou melhor, *não* façam. > >> Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques >> a rede/host, e sim de que a rede ou host seja uma provedora de ataques... > > E qual é a diferença? Sendo um IDS de rede, sua função é filtrar os 2 > fluxos, o que sai e o que entra na/da rede. Ainda não entendi a > relutancia hehe. > > na >> realidade não conheço solução voltada para isso... existe o mod_security > > A solução é o IPS/IDs hehe ;) > > O mod_security é fantastico, mas não se aplica, nem de longe, ao que ela > quer. O mod_security é o mais indicado pra proteger exclusivamente o > Apache local. É um DSO e como tal roda no mesmo nível do httpd. Portanto > sequer, é capaz de identificar padrões iniciados da maquina com > mod_security para outros destinos. Apenas quando o destino final é o > Apache (serviço httpd). > > do >> apache que pode te ajudar a monitorar e filtrar suas aplicações. >> >> Penso em algum programa que cheque a integridade de arquivos no servidor, >> algo parecido com o file: >> >> [EMAIL PROTECTED]:~$ cat sh.gif >> <?php >> system($_GET['sh']); >> ?> >> [EMAIL PROTECTED]:~$ file sh.gif >> sh.gif: PHP script text >> >> e depois, habilitar alguns filtros no mod_security buscando checar qualquer >> uso indevido do php... confesso que não conheço muito o mod_security, uma >> vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar >> um tempo para brincar com ele). >> >> Acredito que no mais é realizar auditorias... procurar nos logs do apache >> por qualquer comando... estilo uname, id, ls ... nada que o cat,grep,awk não >> resolva! > > Eu discordo plenamente. Olhar logs é forense. Segurança tem que ser > pro-ativa. > > E pelo que entendi na situação da Cristina ela não terá logs do Apache > ou PHP pra olhar, ja que ela quer evitar que ataques sejam provenientes > de seu ambiente, nao destinados a ele (ou pelo menos ambos os casos). > >> Espero ter ajudado, boa sorte! >> >> >> Em 22/02/08, William Grzybowski <[EMAIL PROTECTED]> escreveu: >>> Oi Patrick, >>> >>> Não sei se entendi muito bem, poderia me dar uma luz? >>> Php injection, como próprio nome ja diz é a inserção de codigo php >>> causado por código mal escrito que permito o injeção de código php >>> externo no servidor, correto? >>> >>> Como que funcionam essas regras que você falou? Essas empresas liberam >>> regras que atuam (obviamente) na ""camada"" do HTTP e analizam o >>> trafego para os softwares vulneraveis que eles tem conhecimento e >>> inclusao direta de scripts em servidores externos? >>> >>> Vlw >>> >>> 2008/2/21 Patrick Tracanelli <[EMAIL PROTECTED]>: >>> >>>> Cristina Fernandes Silva escreveu: >>>> >>>>> É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance >>>> > ? ou somente as regras que posso usar no snort. >>>> >>>> Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios >>>> precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, >>>> não importa se é uma multinacional, pagara como pequeno. No site da >>>> SourceFire tem todos os detalhes sobre preços. >>>> >>>> São só as regras a principio, mas pode comprar o sistema deles. Não >>>> conheço quem use no país o sistema deles. Mas não parece ser mais do >>> que >>>> o Snort com um front-end muito amigável. >>>> >>>> No caso da Juniper tem direito automaticamente a versão convertida pra >>>> Snort todos que tem Juniper série 5000 e já pague a licença anual do >>> IPS >>>> (que é um add-on no firewall Juniper). >>>> >>>> No Brasil quem representa a venda das assinaturas Source Fire é a >>>> BRConnection. >>>> >>>> >>>> >>>> > >>>> > >>>> > >>>> > Em 21/02/08, Patrick Tracanelli<[EMAIL PROTECTED]> >>> escreveu: >>>> >> Cristina Fernandes Silva escreveu: >>>> >> >>>> >>> Acho que não fui clara, Vou explicar, >>>> >> > >>>> >> > Quero evitar que alguem da minha rede use o meu ip (endereço ) >>> para >>>> >> > fazer ataques >>>> >> > de php injection para outro endereço externo. Até mesmo os meus >>>> >> > usuarios interno fazer algum ataque para servidores externos.. >>>> >> >>>> >> >>>> >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível >>> de >>>> >> satisfação vai depender da qualidade das regras de análise de >>> instrusão >>>> >> que você utilizar. Isso quer dizer que dependendo do nível de >>> seriedade >>>> >> da empresa será proveitoso assinar um serviço (comercial) que >>> oferece >>>> >> regras testadas e atualizadas. Apesar da escolha natural ser Source >>>> >> Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas >>> pela >>>> >> Juniper. São as mesmas utilizadas no Juniper série 5000, >>> convertidas pro >>>> >> Snort. >>>> >> >>>> >> ------------------------- >>>> >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> >> >>>> > ------------------------- >>>> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> >>>> ------------------------- >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> >>> >>> >>> -- >>> >>> William Grzybowski >>> ------------------------------------------ >>> Jabber: william88 at gmail dot com >>> Curitiba/PR - Brazil >>> ------------------------- >>> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> > > -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
