[FUG-BR] Snort - Ossec - Pigmeet
Pessoal venho estudando sobre segurança, redes e por ai vai ... gostaria de saber se a integração com snort + pigmmet + ossec vale apena ... vi comentarios que eram gerados muitos falsos alertas, comprometendo o uso de certos serviços do servidor ... porém pelo que já li sobre o Snort (NIDS), é uma ferramenta que um servidor de segurança não pode deixar de ter ... onde o pigmeet integra o Snort com as regras do firewall (me corrijam se estou falando besteira) e o Ossec (HIDS) auxilia no controle de logs de segurança do sistema em geral, integridade do sistema, detecta rootkits e assim por diante ... Logo essas 3 ferramentas parecem muito boas ... porém não tenho muita experiencia com isso, gostaria de saber do pessoal que já mexe a algum tempo encima de segurança o que que recomendam para garantir uma ótima segurança, em questão de ferramentas para auxiliar o trabalho ... Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort - Ossec - Pigmeet
Rafael, Tenho aqui Snort 2.6 com OSSEC 0.9 (tenho que atualizar ;-)... não sei para que serve esse pigmeet, se a idéia dele é incluir regras no firewall para bloquear o ip então ele não tem utilidade nesse cenário, pois o OSSEC já faz isso... na época falei diretamente com o desenvolvedor do OSSEC (Daniel Cid), e durante vários dias fizemos testes até funcionar com FreeBSD + IPFW... Realmente o SNORT precisa de alguns ajustes, pois tudo que sai no log (/var/log/snort/alert) o ossec bloqueia no firewall.. às vezes eu só conectava no servidor via http, listava uns arquivos e do nada já estava incluído no firewall... aos poucos fui desligando alguns alertas do snort e hoje já dar pra usar... Para acompanhar os bloqueios você também pode usar o BASE (http://sourceforge.net/projects/secureideas). Abraço e boa sorte. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Rafael Busetti [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, March 03, 2007 12:24 PM Subject: [FUG-BR] Snort - Ossec - Pigmeet Pessoal venho estudando sobre segurança, redes e por ai vai ... gostaria de saber se a integração com snort + pigmmet + ossec vale apena ... vi comentarios que eram gerados muitos falsos alertas, comprometendo o uso de certos serviços do servidor ... porém pelo que já li sobre o Snort (NIDS), é uma ferramenta que um servidor de segurança não pode deixar de ter ... onde o pigmeet integra o Snort com as regras do firewall (me corrijam se estou falando besteira) e o Ossec (HIDS) auxilia no controle de logs de segurança do sistema em geral, integridade do sistema, detecta rootkits e assim por diante ... Logo essas 3 ferramentas parecem muito boas ... porém não tenho muita experiencia com isso, gostaria de saber do pessoal que já mexe a algum tempo encima de segurança o que que recomendam para garantir uma ótima segurança, em questão de ferramentas para auxiliar o trabalho ... Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort - Ossec - Pigmeet
Interessante, quando li sobre o OSSEC não tinha percebido que ele fazia esse controle de bloqueios no ipfw =), vlw pela dica amigo. Conhece mais alguma ferramenta que auxilia a segurança no BSD? Vlw! Em 03/03/07, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: Rafael, Tenho aqui Snort 2.6 com OSSEC 0.9 (tenho que atualizar ;-)... não sei para que serve esse pigmeet, se a idéia dele é incluir regras no firewall para bloquear o ip então ele não tem utilidade nesse cenário, pois o OSSEC já faz isso... na época falei diretamente com o desenvolvedor do OSSEC (Daniel Cid), e durante vários dias fizemos testes até funcionar com FreeBSD + IPFW... Realmente o SNORT precisa de alguns ajustes, pois tudo que sai no log (/var/log/snort/alert) o ossec bloqueia no firewall.. às vezes eu só conectava no servidor via http, listava uns arquivos e do nada já estava incluído no firewall... aos poucos fui desligando alguns alertas do snort e hoje já dar pra usar... Para acompanhar os bloqueios você também pode usar o BASE (http://sourceforge.net/projects/secureideas). Abraço e boa sorte. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Rafael Busetti [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, March 03, 2007 12:24 PM Subject: [FUG-BR] Snort - Ossec - Pigmeet Pessoal venho estudando sobre segurança, redes e por ai vai ... gostaria de saber se a integração com snort + pigmmet + ossec vale apena ... vi comentarios que eram gerados muitos falsos alertas, comprometendo o uso de certos serviços do servidor ... porém pelo que já li sobre o Snort (NIDS), é uma ferramenta que um servidor de segurança não pode deixar de ter ... onde o pigmeet integra o Snort com as regras do firewall (me corrijam se estou falando besteira) e o Ossec (HIDS) auxilia no controle de logs de segurança do sistema em geral, integridade do sistema, detecta rootkits e assim por diante ... Logo essas 3 ferramentas parecem muito boas ... porém não tenho muita experiencia com isso, gostaria de saber do pessoal que já mexe a algum tempo encima de segurança o que que recomendam para garantir uma ótima segurança, em questão de ferramentas para auxiliar o trabalho ... Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
