Marcio, te confesso que ainda não configurei o Snort. Não sou a pessoa mais indicada para lhe orientar como funciona e os eventuais problemas.
O Ideal é você entender como funciona um IDS para depois ir para as configurações, pois pode lhe causar dor de cabeça (Imagina o computador de um diretor sendo bloqueado e você não conseguir resolver?) segue alguns links que obtive em uma publicação do nosso amigo da lista Jack http://doc.pfsense.org/index.php/Setup_Snort_Package http://www.nextsense.com.br/blog/archives/793 http://www.nextsense.com.br/blog/archives/176 http://www.nextsense.com.br/blog/archives/668 Eu mesmo ainda não tive tempo de ler :( Boa Sorte. Em 7 de agosto de 2014 10:07, Marcio S - Aker <[email protected]> escreveu: > Obrigado Vitor... > O snort seria com as Emerging Threats e o p2p habilitado? > > Abs > > > From: [email protected] > > Date: Thu, 7 Aug 2014 09:34:34 -0300 > > To: [email protected] > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > Depois que você pegar esse arquivo, abre no wireshark para verificar com > > mais calma. > > > > Certamente você vai achar muito protocolo UDP. > > > > Isso está com cara de Torrent. Se for, creio que você terá que > configurar > > o snort na sua interface LAN > > > > > > > > Em 7 de agosto de 2014 09:27, Marcio S - Aker <[email protected]> > escreveu: > > > > > Bom dia pessoal.....alguams noticias..... > > > Como comentei tem perdiodos de tranquiladade, ontem a atividade nos > > > graficos RRD da lan nao chegou a 3 mb....ja a partir da 1 H de hoje foi > > > pros 100 Mb e permanece. > > > Na interface Wan nao tem trafego grande....um que outro pico de saida > de > > > quase 6 Mb > > > Se vou verificar no Traffic Graph em tempo real na lan, ta em 100/150 > Mb ( > > > em rajadas de picos), se coloco a opcao de Filter local nao lista > nenhum ip > > > da rede interna com grande fluxo. Se colo o filter para All aparecem > > > diversos ips 121.40.90.xx...113.17.169.xx 116.10.xx.xxx com Bandith In > de > > > 25 M Bits/sec .... Mesmo com o pfbloquer ativo pra todos os ips > chineses > > > tanto na lan quanto wan > > > Bom...rotedei o tcpdump com a sintaxe: (re1 mina interface LAN) > > > tcpdump -nai re1 -s0 -w /var/tmp/capture2.pcap > > > > > > E em menos de 20 minutos rodando o arquivo ja tava com 7 Gb ( Rodei > quando > > > o trafego na lan estava alto pra tentar pegar ...), o que ficou de > > > impossivel de fazer o download ( ainda estou fora da empresa). > > > > > > Deixei somente rodando por uns 3 minutos e consegui uma arquivo de 50 > > > Mb......Mas nada de ips chineses nele.... > > > > > > E a briga segue..... > > > > > > Abs. > > > > > > > > > > From: [email protected] > > > > Date: Mon, 4 Aug 2014 14:24:41 -0300 > > > > To: [email protected] > > > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > > > > > Marcio, você pode usar o TCPDUMP que vem nativo no pfsense. > > > > > > > > coloca ele pra salvar um arquivo e depois abre com o Wireshark > > > > > > > > > > > > Em 4 de agosto de 2014 14:18, Marcio S - Aker <[email protected]> > > > escreveu: > > > > > > > > > Bom, passar o malwarebytes removeu algumas ameaças mas nao > resolveu o > > > > > problema. > > > > > Interessante qeu tem momentos de "silencio" agora entre 12 e 14 > Hs o > > > > > trafego na lan caiu pra menos de 1 Mb ( que é o normal) > > > > > No meio da semana devo retornar para a empresa. Como sugeriod pelo > > > Paulo > > > > > quero colocar uma maquina entre a lan e o pfsense para capturar o > > > > > trafego.... > > > > > Qual seria a melhor opcao? Uma maquina com livecd de linux e duas > > > placas > > > > > de rede? Colocar o pfsense como bridge nessa maquina ( > > > > > https://forum.pfsense.org/index.php?topic=50711.0 ) ? > > > > > Obrigado e abraços. > > > > > > > > > > > > > > > > From: [email protected] > > > > > > To: [email protected] > > > > > > Date: Fri, 1 Aug 2014 09:40:06 -0300 > > > > > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > > > > > > > > > Bom dia Paulo, nao cosnegui fazer a captura pois estou fora da > > > empresa > > > > > por alguns dias, pois precisarai colocar uma maquina entre a rede > e o > > > > > pfsense pra fazer a captura. Pedi para a outra pessoa que cuida da > > > parte do > > > > > sistema ( sistema web java que roda num dos servidores) e da > > > manutencao dos > > > > > servidores para fazer uma varredura. Ela passoo o malwarebytes, e > no > > > > > servidor que tem o sistema encotrou 9 pragas, entre elas trojas. No > > > outro ( > > > > > que é somente servidor de arquivo) somente 1. Vamos ver se era > somente > > > isso > > > > > > Ja mandei novamente e-mail aa direção informando da necessidade > da > > > > > compra de um bom sistema anti-virus ( ja havia avisado antes, mas > nao > > > > > quiseram comprar). > > > > > > > > > > > > Mas vou seguir minha luta no pfsense....deixar ele mais restrito > e > > > ver > > > > > se realmente vai melhorar e se eram so esses dois servidores com > > > problema. > > > > > > > > > > > > Sera que o Snort ou Suricata me ajudaria nessa briga? > > > > > > > > > > > > Abraços > > > > > > > > > > > > > Date: Thu, 31 Jul 2014 18:42:12 -0300 > > > > > > > From: [email protected] > > > > > > > To: [email protected] > > > > > > > Subject: Re: [Pfsense-pt] Alto trafego de saida > > > > > > > > > > > > > > Amigo, boa noite! > > > > > > > Pelo visto vc tem algo errado na sua rede, algum cavalo de > tróia ou > > > > > alguma > > > > > > > botnet ou algum serviço oculto em seus servidores.... > > > > > > > Como sugestão faça a captura do tráfego de rede, antes da LAN > do > > > > > pfsense, > > > > > > > mas que concentre todo o tráfego de sua rede.... salve esse > tráfego > > > > > como > > > > > > > .pcap use o tcpdump para isso e depois abra no wiresahrk e > > > procure os > > > > > ips > > > > > > > que vc já sabe que são para os chineses.... quando abrir o > pacote > > > ip > > > > > você > > > > > > > saberá a origem (src) e o destino (dst) do pacote. > > > > > > > > > > > > > > > > > > > > > Em 31 de julho de 2014 13:45, < > > > [email protected]> > > > > > > > escreveu: > > > > > > > > > > > > > > > > > _______________________________________________ > > > Pfsense-pt mailing list > > > [email protected] > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > > > > > > -- > > .................................................................. > > Atenciosamente > > > > > > Victor França > > > > Analista de Suporte > > > > EW Informática > > > > Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro. > > > > +55 21 93203 - 0368 (Opção 5) > > +55 21 99936 - 7575 (VIVO) > > > > e-mail: [email protected] > > GTalk: [email protected] > > _______________________________________________ > > Pfsense-pt mailing list > > [email protected] > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > _______________________________________________ > Pfsense-pt mailing list > [email protected] > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > -- .................................................................. Atenciosamente Victor França Analista de Suporte EW Informática Rua Uruguaiana nº 10, Sala 309 - Rio de Janeiro, Centro. +55 21 93203 - 0368 (Opção 5) +55 21 99936 - 7575 (VIVO) e-mail: [email protected] GTalk: [email protected] _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
