Dá uma olhada https://forum.pfsense.org/index.php/topic,64166.msg347609.html#msg347609http://
Em 10 de junho de 2014 10:36, Victor Franca <victor.fra...@ewinfo.com.br> escreveu: > Você pode usar o Snort para isso também, mas sem configurar os bloqueios. > Em geram um IPS possui um IDS que apenas notifica os tráfegos suspeitos. > > > Em 10 de junho de 2014 10:29, Marcel Laino <marcella...@gmail.com> > escreveu: > > gostaria de uma forma apenas de acompanhar o trafego quando precisar, para >> identificar possiveis usuarios que estejam utilizando esses programas .. >> alguma forma de analisar o trafego ..e identificar isso . >> >> Att, >> >> *Marcel Laino* >> Vivo: (11) 95287-5837 >> marcella...@gmail.com >> facebook.com/marcellaino <http://Facebook.com/marcellaino> >> youtube.com/marcellaino >> br.linkedin.com/in/marcellaino >> google.com/+MarcelLaino >> >> >> 2014-06-10 10:14 GMT-03:00 Victor Franca <victor.fra...@ewinfo.com.br>: >> >> > O Snort é um IPS >> > >> > Um IPS tem a função de analizar comportamentos estranhos baseados em uma >> > métrica configurada por você. >> > >> > É possivel, por exemplo configurar o Snort para "escutar" na sua placa >> WAN >> > e monitorar requisições de abertura de conexão (SYN). Caso muitas >> conexões >> > estejam sendo abertas em um curto período de tempo, o snort caracteriza >> > esse endereço IP como um possível atacante (Técnica de syn flood) e o >> > bloqueia por um período configurado por você. >> > >> > Você também pode configurar na placa LAN. >> > >> > O que sei sobre os programs tor e Ultrasurf é que eles abrem muitas >> > conexões do tipo HTTPS. Isso é característico deles. Se você >> configurar >> > bem o Snort, você conseguirá bloquear os endereços IPs da rede interna >> de >> > se comunicar com a internet. >> > >> > Tenha em mente que isso deve ser informado aos usuários, porquê o Snort >> > pelo que me falaram, bloqueia totalmente a internet do computador ok? >> > >> > >> > Em 10 de junho de 2014 10:09, Marcel Laino <marcella...@gmail.com> >> > escreveu: >> > >> > > vc fala usar o snort dentro do pfsense certo ? seria uma forma de >> > > identificar quem esta utilizando esse tipo de aplicação ? consigo >> fazer >> > um >> > > scaner da rede com o snort ? >> > > >> > > Att, >> > > >> > > *Marcel Laino* >> > > Vivo: (11) 95287-5837 >> > > marcella...@gmail.com >> > > facebook.com/marcellaino <http://Facebook.com/marcellaino> >> > > youtube.com/marcellaino >> > > br.linkedin.com/in/marcellaino >> > > google.com/+MarcelLaino >> > > >> > > >> > > 2014-06-10 10:07 GMT-03:00 Victor Franca <victor.fra...@ewinfo.com.br >> >: >> > > >> > > > Outra dica é usar um IPS, mas nunca configurei o Snort. >> > > > >> > > > >> > > > >> > > > Em 10 de junho de 2014 10:05, Marcel Laino <marcella...@gmail.com> >> > > > escreveu: >> > > > >> > > > > vlw pelas dicas victor .. eu assisti esse hangout, vou ver se vejo >> > > > > novamente .. mesmo assim é muito trabalho bloquear dessa forma .. >> ip >> > > por >> > > > ip >> > > > > .. a lista é gigante. >> > > > > estou pensando em uma forma facil de tempos em tempos escanear a >> rede >> > > > para >> > > > > saber se os usuarios estao executando algum programa do tipo e >> caso >> > > > > encontre eles serao notificados..ou em ultimo caso mandar embora. >> > > > acredito >> > > > > ser a melhor forma. >> > > > > >> > > > > alguem tem alguma dica de como fazer esse escaner na rede, >> atraves de >> > > > > alguma aplicação, ou de preferencia atraves do pfsense .. >> > > > > >> > > > > Att, >> > > > > >> > > > > *Marcel Laino* >> > > > > Vivo: (11) 95287-5837 >> > > > > marcella...@gmail.com >> > > > > facebook.com/marcellaino <http://Facebook.com/marcellaino> >> > > > > youtube.com/marcellaino >> > > > > br.linkedin.com/in/marcellaino >> > > > > google.com/+MarcelLaino >> > > > > >> > > > > >> > > > > 2014-06-10 10:01 GMT-03:00 Victor Franca < >> > victor.fra...@ewinfo.com.br >> > > >: >> > > > > >> > > > > > Eu prefiro usar o site bgp.he.net ao invés desse >> > www.iblocklist.com. >> > > > > > Marcel, não tem forma fácil de fazer o que você precisa. >> > > > > > >> > > > > > Esses sites são para você pegar a lista de endereços IPs >> baseado no >> > > que >> > > > > > você procura nele. Se você procurar por Facebook, eles vão lhe >> dar >> > > uma >> > > > > > lista de IPs relacionadas ao facebook, aí você terá que usar o >> > > CTRL+C e >> > > > > > CTRL+V para criar alias para regras de firewall. >> > > > > > >> > > > > > Funciona por um tempo até lançarem outra versão do programa. >> > > > > > >> > > > > > Como falei, o Ideal é bloquear totalmente o tráfego de saída >> HTTPS >> > e >> > > > > > liberar apenas para os endereços IPs dos bancos. >> > > > > > >> > > > > > Também tem a opção de utilizar o squid3-dev como falei. Segue o >> > > passo >> > > > a >> > > > > > passo do link. (Bloqueio HTTPS é bastante complicado e você com >> > > certeza >> > > > > > terá vários problemas. Teste em um ambiente de homologação >> antes). >> > > > > > >> > > > > > Com relação ao traffic Shapping, seria você identificar os >> > endereços >> > > > IPs >> > > > > do >> > > > > > TOR e limitar a banda dele sacou? Pega no Youtube o Hangout >> > tutorial >> > > > > > Traffic Shapping do Guga :) >> > > > > > >> > > > > > >> > > > > > Em 10 de junho de 2014 09:32, Marcel Laino < >> marcella...@gmail.com> >> > > > > > escreveu: >> > > > > > >> > > > > > > vamos la.. existe algum jeito de adicionar essa lista de ip de >> > uma >> > > só >> > > > > > vez ? >> > > > > > > o traffic shaper não é para dar prioridade no trafego ? como >> > > > > bloquearia o >> > > > > > > tor nele .. >> > > > > > > >> > > > > > > Att, >> > > > > > > >> > > > > > > *Marcel Laino* >> > > > > > > Vivo: (11) 95287-5837 >> > > > > > > marcella...@gmail.com >> > > > > > > facebook.com/marcellaino <http://Facebook.com/marcellaino> >> > > > > > > youtube.com/marcellaino >> > > > > > > br.linkedin.com/in/marcellaino >> > > > > > > google.com/+MarcelLaino >> > > > > > > >> > > > > > > >> > > > > > > 2014-06-10 8:49 GMT-03:00 Joaquim de Jesus Soares < >> > > > > > > joaquim.soa...@ufra.edu.br>: >> > > > > > > >> > > > > > > > Existe o pacote squid-dev que intercepta trafego https >> ainda >> > não >> > > > > > testei >> > > > > > > > Outra ferramenta e pfbloker tem varias lista de IPs >> atualizada >> > > > para >> > > > > > tudo >> > > > > > > > https://www.iblocklist.com/search.php?string=TOR >> > > > > > > > não é perfeita mais ajuda bastante. >> > > > > > > > Pode ainda usar o sort ira detectar fluxo de torrente e pode >> > > > colocar >> > > > > a >> > > > > > > > maquina em quarentena >> > > > > > > > e ainda o traffic share >> > > > > > > > >> > > > > > > > ----- Mensagem original ----- >> > > > > > > > De: "Victor Franca" <victor.fra...@ewinfo.com.br> >> > > > > > > > Para: "Lista em Português sobre pfSense" < >> > > > > pfsense-pt@lists.pfsense.org >> > > > > > > >> > > > > > > > Enviadas: Segunda-feira, 9 de junho de 2014 21:34:13 >> > > > > > > > Assunto: Re: [Pfsense-pt] bloqueio rede Tor >> > > > > > > > >> > > > > > > > Exatamente, não tem como bloquear isso sem contratempos. O >> > > ideal é >> > > > > > você >> > > > > > > > ver os endereços dos bancos e criar regras de exceção para >> não >> > > > > > bloquear o >> > > > > > > > que você não quer >> > > > > > > > >> > > > > > > > Enviado do meu LG Nexus 4 >> > > > > > > > Em 09/06/2014 21:31, "Marcel Laino" <marcella...@gmail.com> >> > > > > escreveu: >> > > > > > > > >> > > > > > > > > o problema são os bancos .., até liberar todos acessos >> fica >> > > > > > complicado >> > > > > > > .. >> > > > > > > > > >> > > > > > > > > Att, >> > > > > > > > > >> > > > > > > > > *Marcel Laino* >> > > > > > > > > Vivo: (11) 95287-5837 >> > > > > > > > > marcella...@gmail.com >> > > > > > > > > facebook.com/marcellaino <http://Facebook.com/marcellaino >> > >> > > > > > > > > youtube.com/marcellaino >> > > > > > > > > br.linkedin.com/in/marcellaino >> > > > > > > > > google.com/+MarcelLaino >> > > > > > > > > >> > > > > > > > > >> > > > > > > > > 2014-06-09 20:46 GMT-03:00 Victor Franca < >> > > > > > victor.fra...@ewinfo.com.br >> > > > > > > >: >> > > > > > > > > >> > > > > > > > > > Você está confundindo regras de firewall com proxy. >> > > > > > > > > > >> > > > > > > > > > O que você pode fazer é bloquear totalmente a porta >> https e >> > > > > liberar >> > > > > > > > > apenas >> > > > > > > > > > para o que você utiliza em seu ambiente. >> > > > > > > > > > >> > > > > > > > > > Geralmente quem usa proxy ativo já faz isso >> > > > > > > > > > >> > > > > > > > > > Bloquear tor e ultrasurf é complicado. >> > > > > > > > > > >> > > > > > > > > > Enviado do meu LG Nexus 4 >> > > > > > > > > > Em 09/06/2014 20:19, "Marcel Laino" < >> marcella...@gmail.com >> > > >> > > > > > > escreveu: >> > > > > > > > > > >> > > > > > > > > > > utilizo pfsense + squid + squidguard. proxy >> autenticado. >> > > > > > > > > > > >> > > > > > > > > > > mais quais endereços/ portas devem ser bloqueados ? vi >> > num >> > > > site >> > > > > > > mais >> > > > > > > > > de 5 >> > > > > > > > > > > mil endereços para bloquear.. >> > > > > > > > > > > >> > > > > > > > > > > Att, >> > > > > > > > > > > >> > > > > > > > > > > *Marcel Laino* >> > > > > > > > > > > Vivo: (11) 95287-5837 >> > > > > > > > > > > marcella...@gmail.com >> > > > > > > > > > > facebook.com/marcellaino < >> > http://Facebook.com/marcellaino> >> > > > > > > > > > > youtube.com/marcellaino >> > > > > > > > > > > br.linkedin.com/in/marcellaino >> > > > > > > > > > > google.com/+MarcelLaino >> > > > > > > > > > > >> > > > > > > > > > > >> > > > > > > > > > > 2014-06-09 18:25 GMT-03:00 Victor Franca < >> > > > > > > > victor.fra...@ewinfo.com.br >> > > > > > > > > >: >> > > > > > > > > > > >> > > > > > > > > > > > Provavelmente utilizando proxy autenticado ou proxy >> > > > > > transparente >> > > > > > > > > https >> > > > > > > > > > > pelo >> > > > > > > > > > > > pacote squid3-dev >> > > > > > > > > > > > >> > > > > > > > > > > > Para configurar proxy transparente + interceptação >> > HTTPS, >> > > > > siga >> > > > > > as >> > > > > > > > > > > > instruções desse link >> > > > > > > > > > > > >> > > > > > > > > > > > http://nextsense.com.br/blog/archives/1866 >> > > > > > > > > > > > >> > > > > > > > > > > > >> > > > > > > > > > > > Em 09/06/2014 15:16, "Marcel Laino" < >> > > marcella...@gmail.com >> > > > > >> > > > > > > > > escreveu: >> > > > > > > > > > > > >> > > > > > > > > > > > > Pessoal, >> > > > > > > > > > > > > >> > > > > > > > > > > > > estou com esse problema aqui. peguei usuario >> usando >> > um >> > > > exe >> > > > > > para >> > > > > > > > > > abrir o >> > > > > > > > > > > > > navegador e conectar na rede Tor. >> > > > > > > > > > > > > como faço o bloqueio pelo pfsense. >> > > > > > > > > > > > > >> > > > > > > > > > > > > Att, >> > > > > > > > > > > > > >> > > > > > > > > > > > > *Marcel Laino* >> > > > > > > > > > > > > Vivo: (11) 95287-5837 >> > > > > > > > > > > > > marcella...@gmail.com >> > > > > > > > > > > > > facebook.com/marcellaino < >> > > > http://Facebook.com/marcellaino> >> > > > > > > > > > > > > youtube.com/marcellaino >> > > > > > > > > > > > > br.linkedin.com/in/marcellaino >> > > > > > > > > > > > > google.com/+MarcelLaino >> > > > > > > > > > > > > _______________________________________________ >> > > > > > > > > > > > > Pfsense-pt mailing list >> > > > > > > > > > > > > Pfsense-pt@lists.pfsense.org >> > > > > > > > > > > > > >> http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > > > > > > > > > > >> > > > > > > > > > > > _______________________________________________ >> > > > > > > > > > > > Pfsense-pt mailing list >> > > > > > > > > > > > Pfsense-pt@lists.pfsense.org >> > > > > > > > > > > > >> http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > > > > > > > > > >> > > > > > > > > > > _______________________________________________ >> > > > > > > > > > > Pfsense-pt mailing list >> > > > > > > > > > > Pfsense-pt@lists.pfsense.org >> > > > > > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > > > > > > > > >> > > > > > > > > > _______________________________________________ >> > > > > > > > > > Pfsense-pt mailing list >> > > > > > > > > > Pfsense-pt@lists.pfsense.org >> > > > > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > > > > > > > >> > > > > > > > > _______________________________________________ >> > > > > > > > > Pfsense-pt mailing list >> > > > > > > > > Pfsense-pt@lists.pfsense.org >> > > > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > > > > > > >> > > > > > > > _______________________________________________ >> > > > > > > > Pfsense-pt mailing list >> > > > > > > > Pfsense-pt@lists.pfsense.org >> > > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > > > > > _______________________________________________ >> > > > > > > > Pfsense-pt mailing list >> > > > > > > > Pfsense-pt@lists.pfsense.org >> > > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > > > > > >> > > > > > > _______________________________________________ >> > > > > > > Pfsense-pt mailing list >> > > > > > > Pfsense-pt@lists.pfsense.org >> > > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > > > > >> > > > > > >> > > > > > >> > > > > > >> > > > > > -- >> > > > > > >> .................................................................. >> > > > > > Atenciosamente >> > > > > > >> > > > > > >> > > > > > Victor França >> > > > > > >> > > > > > Analista de Suporte >> > > > > > >> > > > > > EW Informática >> > > > > > >> > > > > > Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro. >> > > > > > >> > > > > > +55 21 93203 - 0368 (Opção 5) >> > > > > > +55 21 99936 - 7575 (VIVO) >> > > > > > >> > > > > > e-mail: victor.fra...@ewinfo.com.br >> > > > > > GTalk: victor.fra...@ewinfo.com.br >> > > > > > _______________________________________________ >> > > > > > Pfsense-pt mailing list >> > > > > > Pfsense-pt@lists.pfsense.org >> > > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > > > >> > > > > _______________________________________________ >> > > > > Pfsense-pt mailing list >> > > > > Pfsense-pt@lists.pfsense.org >> > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > > >> > > > >> > > > >> > > > >> > > > -- >> > > > .................................................................. >> > > > Atenciosamente >> > > > >> > > > >> > > > Victor França >> > > > >> > > > Analista de Suporte >> > > > >> > > > EW Informática >> > > > >> > > > Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro. >> > > > >> > > > +55 21 93203 - 0368 (Opção 5) >> > > > +55 21 99936 - 7575 (VIVO) >> > > > >> > > > e-mail: victor.fra...@ewinfo.com.br >> > > > GTalk: victor.fra...@ewinfo.com.br >> > > > _______________________________________________ >> > > > Pfsense-pt mailing list >> > > > Pfsense-pt@lists.pfsense.org >> > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > >> > > _______________________________________________ >> > > Pfsense-pt mailing list >> > > Pfsense-pt@lists.pfsense.org >> > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > >> > >> > >> > >> > -- >> > .................................................................. >> > Atenciosamente >> > >> > >> > Victor França >> > >> > Analista de Suporte >> > >> > EW Informática >> > >> > Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro. >> > >> > +55 21 93203 - 0368 (Opção 5) >> > +55 21 99936 - 7575 (VIVO) >> > >> > e-mail: victor.fra...@ewinfo.com.br >> > GTalk: victor.fra...@ewinfo.com.br >> > _______________________________________________ >> > Pfsense-pt mailing list >> > Pfsense-pt@lists.pfsense.org >> > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > >> _______________________________________________ >> Pfsense-pt mailing list >> Pfsense-pt@lists.pfsense.org >> http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > > -- > .................................................................. > Atenciosamente > > > Victor França > > Analista de Suporte > > EW Informática > > Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro. > > +55 21 93203 - 0368 (Opção 5) > +55 21 99936 - 7575 (VIVO) > > e-mail: victor.fra...@ewinfo.com.br > GTalk: victor.fra...@ewinfo.com.br > -- .................................................................. Atenciosamente Victor França Analista de Suporte EW Informática Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro. +55 21 93203 - 0368 (Opção 5) +55 21 99936 - 7575 (VIVO) e-mail: victor.fra...@ewinfo.com.br GTalk: victor.fra...@ewinfo.com.br _______________________________________________ Pfsense-pt mailing list Pfsense-pt@lists.pfsense.org http://lists.pfsense.org/mailman/listinfo/pfsense-pt
