Olá Dalison,
Legal a sua iniciativa, mas acredito que as regras que mandou
anteriormente (anti spoofing) e essas atuais, não seriam necessarias
serem feitas pelo IPS, visto que é uma filtragem básica de portas (sem
necessidade de abrir o pacote todo como o hlbr faz), seria muito mais
viavel as regras em um roteador de borda ou firewall mesmo.
Essas regras em grandes ambientes poderiam causar certos delays
desnecessarios ou até não indisponibilidade visto que como voce mesmo
citou quando bloqueou varias portas o consumo da maquina aumentou
muito.
Feliz Natal e Otimo ano novo para todos também!
[]z! Rodrigo Montoro (Sp0oKeR).
On Dec 21, 2007 4:51 PM, Dailson Fernandes <[EMAIL PROTECTED]> wrote:
>
>
>
>
>
>
> PessoALL
>
> Segue mais algumas regras, desta vez para fechar as portas privilegiadas.
> Que vão de 1 a 1023.
> Se você quiser ver quem está scaneando sua rede, ver portas e ser bem
> detalhista, use o script blinda.sh para criar suas regras.
> É simples, basta você abrir, e colocar as portas que você quer que o hlbr
> deixe passar, o resto ele gera regras com as portas UDP e TCP todas
> fechadas.
> O arquivo blind_network.rules já segue pronto com as seguintes portas
> abertas:
> 20, 21, 25, 53, 80, 110, 137, 138, 139, 143 e 443 Que é o que normalmente as
> redes corporativas usam.
> Este script gera em torno de 2000 regras. Tem o lado positvo dos detalhes
> das informações através dos logs, porém dependendo da sua máquina, o HLBR
> pode ficar consumindo 100% de processador. Teste, antes de colocar em
> produção.
> Se quiser alterar as portas, basta abrir o script, inserir ou retirar
> portas, e rodá-lo novamente. O arquivo gerado aparecerá em
> /etc/hlbr/rules/blind_network.rules.
> Para fazer funcionar, não esqueça de colocar no /etc/hlbr/hlbr.rules a
> seguinte linha:
> <include rules/blind_network.rules>
>
> Se você deseja fechar todas as portas UPD/TCP não privilegiadas, e achou um
> absurdo a quantidade de regras e seu HLBR ficou consumindo 100% da
> máquina... seus problemas se acabaram!!!!! :)
> O arquivo de regras blind_simple.rules tem a mesma função porém apenas com
> duas regras.
> Este arquivo segue em anexo. Você não terá o mesmo nível de detahamento em
> LOG, mas terá a mesma camanda de proteção e saberá dos hosts que andam
> batendo em portas que você não quer.
> Não esqueça de comentar a linha do blind_netowrk.rules e acrescentar esta
> <include rules/blind_simple.rules>
> e copie o arquivo blind_simpe.rules para o diretório /etc/hlbr/rules.
> Lembrando que este arquivo está deixando aberta as seguintes portas:
> 20, 21, 25, 53, 80, 110, 137, 138, 139, 143 e 443 Que é o que normalmente as
> redes corporativas usam.
>
> Bom, sei que trancar estas portas, não quer dizer que você está seguro...
> nem quero praticar a segurança por obscuridade, mas tenho utilizado estes
> logs, pra criar minha lista negra!!!
>
> Para testar qualquer dos arquivos acima de regras, você pode utilizar o nmap
> de uma máquina remota com os seguintes parâmetros:
>
> nmap destino (ataques a portas tcp)
> nmap -sT destino (ataques a portas tcp)
> nmap -sU destino (ataques a portas udp)
>
> Dê um tail -f /var/log/hlbr/hlbr.log e fique se divertindo vendo o nmap
> sorteando portas para scanear!!!!!
>
> Um bom Natal para todos..
>
> Qualquer dúvida, ajuda ou crítica... estamas na área!!!!.
>
> Dailson Fernandes
> http://dailson.blogspot.com
>
>
> [EMAIL PROTECTED]
> # #
> # Dailson Fernandes #
> # http://dailson.blogspot.com #
> # #
> ###############################
>
> ________________________________
> Abra sua conta no Yahoo! Mail, o único sem limite de espaço para
> armazenamento!
--
=========================
Rodrigo Ribeiro Montoro
Analista de Segurança
SnortCP / RHCE / LPIC-I
http://spookerlabs.multiply.com
=========================
