Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW)
Em Ter, 2006-12-26 às 15:37 -0300, Welkson Renny de Medeiros escreveu: Boa tarde Marcello, Dei uma verificada nos links, não sei se foi ignorância minha, mas não encontrei nada de concreto, com exemplos, etc... se alguem tiver um exemplo funcionando posta aqui, com certeza o pessoal vai gostar, pois sempre vejo o pessoal comentando sobre L7, mas a resposta sempre termina em usar snort, mas até agora não vi nenhum exemplo funcionando... Obrigado pela atenção. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Marcello Costa [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 26, 2006 12:06 PM Subject: Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW) Em Sex, 2006-12-22 às 15:16 -0300, Welkson Renny de Medeiros escreveu: Senhores, Existe alguma forma de bloquear programas pela assinatura do pacote/string (se é que posso chamar assim) no PF ou IPFW? Exemplo IPTABLES: iptables -A FORWARD -m string --string X-Skype: -j DROP Acho que já li algo sobre isso, falando que não existe essa funcionalidade nos firewalls do bsd, mas dar pra fazer via snort, se verdade como faço isso? Vi essa regra hoje em um grupo e fiquei curioso (vi no grupo Perícia Forense, porque iptables/linux faz tempo que não uso). Abraço a todos. dá uma olhadinha no histórico da lista http://www.fug.com.br/historico/cgi-bin/namazu.cgi?query=ipfw +l7submit=Buscar%21idxname=freebsdmax=20result=normalsort=score []'s Acho que vc talvez ainda não tenha compreendido como funciona, mas se vc entende como um proxy funciona facil vc entender vc coloca um divert de uma regra para uma porta , nesta porta um programa qualquer esta ouvindo e executa ou não a ação de acordo com o que ele foi configurado , man ipfw w man divert para melhor compreenção , exemplos tem sim , este links abaixo são relativamente recentes e me foram trazidos pelo nosso amigo google http://www.google.com.br/search?q=freebsd+snort +inlinehl=pt-BRlr=start=30sa=N http://freebsd.rogness.net/snort_inline/ http://lists.freebsd.org/pipermail/freebsd-current/2006-June/063821.html -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW)
Como falei, pode ter sido ignorância minha... mas o que eu quis dizer é que nunca vi a tal rule que pelo menos detecta o skype... porque se detectar o resto é tranquilo, no lugar do snort_inline eu uso o ossec, ele analisa as regras do snort e já inclui o ip do possível atacante no firewall (ipfw)... Perguntei só por curiosidade, não tenho ainda necessidade de bloquear skype ou usar alguma utilidade do L7 (se bem que bloquear ou limitar emule seria legal :-), mas tudo bem, lá pra frente deve aparecer algo mais fácil... Obrigado pela atenção. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Marcello Costa [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, December 27, 2006 12:03 PM Subject: Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW) Em Ter, 2006-12-26 às 15:37 -0300, Welkson Renny de Medeiros escreveu: Boa tarde Marcello, Dei uma verificada nos links, não sei se foi ignorância minha, mas não encontrei nada de concreto, com exemplos, etc... se alguem tiver um exemplo funcionando posta aqui, com certeza o pessoal vai gostar, pois sempre vejo o pessoal comentando sobre L7, mas a resposta sempre termina em usar snort, mas até agora não vi nenhum exemplo funcionando... Obrigado pela atenção. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Marcello Costa [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 26, 2006 12:06 PM Subject: Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW) Em Sex, 2006-12-22 às 15:16 -0300, Welkson Renny de Medeiros escreveu: Senhores, Existe alguma forma de bloquear programas pela assinatura do pacote/string (se é que posso chamar assim) no PF ou IPFW? Exemplo IPTABLES: iptables -A FORWARD -m string --string X-Skype: -j DROP Acho que já li algo sobre isso, falando que não existe essa funcionalidade nos firewalls do bsd, mas dar pra fazer via snort, se verdade como faço isso? Vi essa regra hoje em um grupo e fiquei curioso (vi no grupo Perícia Forense, porque iptables/linux faz tempo que não uso). Abraço a todos. dá uma olhadinha no histórico da lista http://www.fug.com.br/historico/cgi-bin/namazu.cgi?query=ipfw +l7submit=Buscar%21idxname=freebsdmax=20result=normalsort=score []'s Acho que vc talvez ainda não tenha compreendido como funciona, mas se vc entende como um proxy funciona facil vc entender vc coloca um divert de uma regra para uma porta , nesta porta um programa qualquer esta ouvindo e executa ou não a ação de acordo com o que ele foi configurado , man ipfw w man divert para melhor compreenção , exemplos tem sim , este links abaixo são relativamente recentes e me foram trazidos pelo nosso amigo google http://www.google.com.br/search?q=freebsd+snort +inlinehl=pt-BRlr=start=30sa=N http://freebsd.rogness.net/snort_inline/ http://lists.freebsd.org/pipermail/freebsd-current/2006-June/063821.html -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW)
Com o snort você ativa o snortsam e aplica o patch. Daí tudo que o snortsam achar na regra especifica que você alterar(você adiciona no rules/nome_da_regra uma flag pra o snortsam analisar), ele cria uma table. Assim, o snortsam coloca na table 1 e 2(por exemplo), tudo que for detectado na entrada e saída da rule que você mandar. Aí você poe no ipfw uma regra: Ipfw add 1 deny all from table(1) to any via interface_interna Ipfw add 2 deny all from any to table(2) via interface_externa. Com isso você pode mandar o snortsam pegar skype,msn,kazaa,vulnerabilidades do IIS, etc etc, tudo que as assinaturas dele pega :) Esta opção do divert é mais simples ainda, mas não testei. Inté -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Welkson Renny de Medeiros Sent: quarta-feira, 27 de dezembro de 2006 15:53 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW) Como falei, pode ter sido ignorância minha... mas o que eu quis dizer é que nunca vi a tal rule que pelo menos detecta o skype... porque se detectar o resto é tranquilo, no lugar do snort_inline eu uso o ossec, ele analisa as regras do snort e já inclui o ip do possível atacante no firewall (ipfw)... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW)
Em Qua, 2006-12-27 às 14:52 -0300, Welkson Renny de Medeiros escreveu: Como falei, pode ter sido ignorância minha... mas o que eu quis dizer é que nunca vi a tal rule que pelo menos detecta o skype... porque se detectar o resto é tranquilo, no lugar do snort_inline eu uso o ossec, ele analisa as regras do snort e já inclui o ip do possível atacante no firewall (ipfw)... Perguntei só por curiosidade, não tenho ainda necessidade de bloquear skype ou usar alguma utilidade do L7 (se bem que bloquear ou limitar emule seria legal :-), mas tudo bem, lá pra frente deve aparecer algo mais fácil... Obrigado pela atenção. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] bloquear a maioria dos p2p era facil , hoje não sei bem se isso vai funcionar legal , mas bastava bloquear tudo que era udp, menos ntp e dns , o que acontecia é que ele não conseguia realizar busca alguma , não posso afirmar se hoje ainda isso ta funcionando bem em relação aos novos p2p , hoje meu cenário de rede é tranquilo e nem preciso filtrar praticamente nada, mas já usei esse artificio com sucesso , tb usei uma jogada que era permetir o p2p mas eu os colocava em um dumynet de 5kbps , aliais tudo que não fosse especificamente liberado ia para esse tunel . o problema do l7 é que com certeza vai ter muito programinha que vai alterar a sua assinatura para se passar por um http , se é que já não tem ... , eterno gato e rato. -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW)
Em Qua, 2006-12-27 às 16:53 -0200, Marcello Costa escreveu: Em Qua, 2006-12-27 às 14:52 -0300, Welkson Renny de Medeiros escreveu: Como falei, pode ter sido ignorância minha... mas o que eu quis dizer é que nunca vi a tal rule que pelo menos detecta o skype... porque se detectar o resto é tranquilo, no lugar do snort_inline eu uso o ossec, ele analisa as regras do snort e já inclui o ip do possível atacante no firewall (ipfw)... Perguntei só por curiosidade, não tenho ainda necessidade de bloquear skype ou usar alguma utilidade do L7 (se bem que bloquear ou limitar emule seria legal :-), mas tudo bem, lá pra frente deve aparecer algo mais fácil... Obrigado pela atenção. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] bloquear a maioria dos p2p era facil , hoje não sei bem se isso vai funcionar legal , mas bastava bloquear tudo que era udp, menos ntp e dns , o que acontecia é que ele não conseguia realizar busca alguma , não posso afirmar se hoje ainda isso ta funcionando bem em relação aos novos p2p , hoje meu cenário de rede é tranquilo e nem preciso filtrar praticamente nada, mas já usei esse artificio com sucesso , tb usei uma jogada que era permetir o p2p mas eu os colocava em um dumynet de 5kbps , aliais tudo que não fosse especificamente liberado ia para esse tunel . o problema do l7 é que com certeza vai ter muito programinha que vai alterar a sua assinatura para se passar por um http , se é que já não tem ... , eterno gato e rato. complementando : esse man pode ajudar , ainda não esta simples como uma tag p2p ou msn ou skype , mas isso creio que seja questão de tempo http://oldschoolpunx.net/phpMan.php/man/ng_tag/4 []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW)
Em Sex, 2006-12-22 às 15:16 -0300, Welkson Renny de Medeiros escreveu: Senhores, Existe alguma forma de bloquear programas pela assinatura do pacote/string (se é que posso chamar assim) no PF ou IPFW? Exemplo IPTABLES: iptables -A FORWARD -m string --string X-Skype: -j DROP Acho que já li algo sobre isso, falando que não existe essa funcionalidade nos firewalls do bsd, mas dar pra fazer via snort, se verdade como faço isso? Vi essa regra hoje em um grupo e fiquei curioso (vi no grupo Perícia Forense, porque iptables/linux faz tempo que não uso). Abraço a todos. dá uma olhadinha no histórico da lista http://www.fug.com.br/historico/cgi-bin/namazu.cgi?query=ipfw +l7submit=Buscar%21idxname=freebsdmax=20result=normalsort=score []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW)
Boa tarde Marcello, Dei uma verificada nos links, não sei se foi ignorância minha, mas não encontrei nada de concreto, com exemplos, etc... se alguem tiver um exemplo funcionando posta aqui, com certeza o pessoal vai gostar, pois sempre vejo o pessoal comentando sobre L7, mas a resposta sempre termina em usar snort, mas até agora não vi nenhum exemplo funcionando... Obrigado pela atenção. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Marcello Costa [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, December 26, 2006 12:06 PM Subject: Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW) Em Sex, 2006-12-22 às 15:16 -0300, Welkson Renny de Medeiros escreveu: Senhores, Existe alguma forma de bloquear programas pela assinatura do pacote/string (se é que posso chamar assim) no PF ou IPFW? Exemplo IPTABLES: iptables -A FORWARD -m string --string X-Skype: -j DROP Acho que já li algo sobre isso, falando que não existe essa funcionalidade nos firewalls do bsd, mas dar pra fazer via snort, se verdade como faço isso? Vi essa regra hoje em um grupo e fiquei curioso (vi no grupo Perícia Forense, porque iptables/linux faz tempo que não uso). Abraço a todos. dá uma olhadinha no histórico da lista http://www.fug.com.br/historico/cgi-bin/namazu.cgi?query=ipfw +l7submit=Buscar%21idxname=freebsdmax=20result=normalsort=score []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Converter regra IPTABLES x PF (ou IPFW)
Senhores, Existe alguma forma de bloquear programas pela assinatura do pacote/string (se é que posso chamar assim) no PF ou IPFW? Exemplo IPTABLES: iptables -A FORWARD -m string --string X-Skype: -j DROP Acho que já li algo sobre isso, falando que não existe essa funcionalidade nos firewalls do bsd, mas dar pra fazer via snort, se verdade como faço isso? Vi essa regra hoje em um grupo e fiquei curioso (vi no grupo Perícia Forense, porque iptables/linux faz tempo que não uso). Abraço a todos. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
