Bom, Patrick, você está certo :), obrigado pelo post explicativo, tanto tempo sem mexer no snort ou em qualquer ids/ips, me fez confundir as bolas xD.
[]s Em 22/02/08, Patrick Tracanelli <[EMAIL PROTECTED]> escreveu: > > Patrick Tracanelli escreveu: > > > Marcelo M. Fleury escreveu: > >> Olá, > >> > >> até onde eu entendi, o interesse da Cristina é em não ser uma provedora > de > >> códigos maliciosos, no caso PHP. > > > > Então entendemos coisas distintas. Ao meu ver ela nao quer q usuarios > > internos façam ataque de injection em qualquer q seja o destino/alvo. > > > Ou melhor, *não* façam. > > > > > >> Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de > ataques > >> a rede/host, e sim de que a rede ou host seja uma provedora de > ataques... > > > > E qual é a diferença? Sendo um IDS de rede, sua função é filtrar os 2 > > fluxos, o que sai e o que entra na/da rede. Ainda não entendi a > > relutancia hehe. > > > > na > >> realidade não conheço solução voltada para isso... existe o > mod_security > > > > A solução é o IPS/IDs hehe ;) > > > > O mod_security é fantastico, mas não se aplica, nem de longe, ao que ela > > quer. O mod_security é o mais indicado pra proteger exclusivamente o > > Apache local. É um DSO e como tal roda no mesmo nível do httpd. Portanto > > sequer, é capaz de identificar padrões iniciados da maquina com > > mod_security para outros destinos. Apenas quando o destino final é o > > Apache (serviço httpd). > > > > do > >> apache que pode te ajudar a monitorar e filtrar suas aplicações. > >> > >> Penso em algum programa que cheque a integridade de arquivos no > servidor, > >> algo parecido com o file: > >> > >> [EMAIL PROTECTED]:~$ cat sh.gif > >> <?php > >> system($_GET['sh']); > >> ?> > >> [EMAIL PROTECTED]:~$ file sh.gif > >> sh.gif: PHP script text > >> > >> e depois, habilitar alguns filtros no mod_security buscando checar > qualquer > >> uso indevido do php... confesso que não conheço muito o mod_security, > uma > >> vez que não trampo mais como sysadmin e sim como desenvolvedor(quero > arrumar > >> um tempo para brincar com ele). > >> > >> Acredito que no mais é realizar auditorias... procurar nos logs do > apache > >> por qualquer comando... estilo uname, id, ls ... nada que o > cat,grep,awk não > >> resolva! > > > > Eu discordo plenamente. Olhar logs é forense. Segurança tem que ser > > pro-ativa. > > > > E pelo que entendi na situação da Cristina ela não terá logs do Apache > > ou PHP pra olhar, ja que ela quer evitar que ataques sejam provenientes > > de seu ambiente, nao destinados a ele (ou pelo menos ambos os casos). > > > >> Espero ter ajudado, boa sorte! > >> > >> > >> Em 22/02/08, William Grzybowski <[EMAIL PROTECTED]> escreveu: > >>> Oi Patrick, > >>> > >>> Não sei se entendi muito bem, poderia me dar uma luz? > >>> Php injection, como próprio nome ja diz é a inserção de codigo php > >>> causado por código mal escrito que permito o injeção de código php > >>> externo no servidor, correto? > >>> > >>> Como que funcionam essas regras que você falou? Essas empresas liberam > >>> regras que atuam (obviamente) na ""camada"" do HTTP e analizam o > >>> trafego para os softwares vulneraveis que eles tem conhecimento e > >>> inclusao direta de scripts em servidores externos? > >>> > >>> Vlw > >>> > >>> 2008/2/21 Patrick Tracanelli <[EMAIL PROTECTED]>: > >>> > >>>> Cristina Fernandes Silva escreveu: > >>>> > >>>>> É cobrada essas regras ? Vc tem alguma faixa de preço ? é > apllicance > >>>> > ? ou somente as regras que posso usar no snort. > >>>> > >>>> Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios > >>>> precos. Eles confiam no que voce diz: Se voce diz que é pequeno > porte, > >>>> não importa se é uma multinacional, pagara como pequeno. No site da > >>>> SourceFire tem todos os detalhes sobre preços. > >>>> > >>>> São só as regras a principio, mas pode comprar o sistema deles. Não > >>>> conheço quem use no país o sistema deles. Mas não parece ser mais do > >>> que > >>>> o Snort com um front-end muito amigável. > >>>> > >>>> No caso da Juniper tem direito automaticamente a versão convertida > pra > >>>> Snort todos que tem Juniper série 5000 e já pague a licença anual do > >>> IPS > >>>> (que é um add-on no firewall Juniper). > >>>> > >>>> No Brasil quem representa a venda das assinaturas Source Fire é a > >>>> BRConnection. > >>>> > >>>> > >>>> > >>>> > > >>>> > > >>>> > > >>>> > Em 21/02/08, Patrick Tracanelli<[EMAIL PROTECTED]> > >>> escreveu: > >>>> >> Cristina Fernandes Silva escreveu: > >>>> >> > >>>> >>> Acho que não fui clara, Vou explicar, > >>>> >> > > >>>> >> > Quero evitar que alguem da minha rede use o meu ip (endereço > ) > >>> para > >>>> >> > fazer ataques > >>>> >> > de php injection para outro endereço externo. Até mesmo os > meus > >>>> >> > usuarios interno fazer algum ataque para servidores externos.. > >>>> >> > >>>> >> > >>>> >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O > nível > >>> de > >>>> >> satisfação vai depender da qualidade das regras de análise de > >>> instrusão > >>>> >> que você utilizar. Isso quer dizer que dependendo do nível de > >>> seriedade > >>>> >> da empresa será proveitoso assinar um serviço (comercial) que > >>> oferece > >>>> >> regras testadas e atualizadas. Apesar da escolha natural ser > Source > >>>> >> Fire, minha escolha pessoal (e sugestão) é pelas regras > fornecidas > >>> pela > >>>> >> Juniper. São as mesmas utilizadas no Juniper série 5000, > >>> convertidas pro > >>>> >> Snort. > >>>> >> > >>>> >> ------------------------- > >>>> >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> >> > >>>> > ------------------------- > >>>> > Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > >>>> ------------------------- > >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > >>> > >>> > >>> -- > >>> > >>> William Grzybowski > >>> ------------------------------------------ > >>> Jabber: william88 at gmail dot com > >>> Curitiba/PR - Brazil > >>> ------------------------- > >>> > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>> > >> > >> > > > > > > > -- > Patrick Tracanelli > > FreeBSD Brasil LTDA. > Tel.: (31) 3516-0800 > [EMAIL PROTECTED] > http://www.freebsdbrasil.com.br > "Long live Hanin Elias, Kim Deal!" > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att, Marcelo M. Fleury Linux User: #369521 Blog - http://marcelomf.blogspot.com/ "Não basta saber, é preciso também aplicar; não basta querer é preciso também agir" By Goethe ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
