[FUG-BR] Snort
Ola.. Tem alguma ferramenta para o snort que faca um whois e identifique e avise o dono do IP ?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort
Não. *--* *Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) * Atenciosamente, *Saul Figueiredo *Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 Linux User: #554651 saulfelip...@gmail.com saul-fel...@hotmail.com 2013/2/20 Marcelo da Silva marc...@mginformatica.com Ola.. Tem alguma ferramenta para o snort que faca um whois e identifique e avise o dono do IP ?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort: FreeBSD ou Pfsense
*Olá Gustavo,* A decisão de implanta um IDS/IPS é relevante tendo em vista o tráfego de WEB q temos hj. Todavia, serviços ligados a segurança da informação aumentam o esforço de trabalho caso não esteja utilizando a tecnologia correta. Analise se é um HIDS ou NIDS que vc pretende, aplicações de layer 7 devem ser bem analisadas e devem ter motivações concretas em função do capital intelectual e força de trabalho. Como sugestão responda as perguntas abaixo? 1. Qual firewall esta utilizando? 2. Vc conhece o tráfego de sua rede ? 3. Qual a plataforma de seu ativos de rede? 4. Qual os serviço em zona desmilitarizada ? 5. Que plataforma de hardware esta disponível p a implantação? 6. Qual o potencial da equipe? PFsense e freeBSD realizam o trabalho sem nenhum problemas, mas as perguntas acima são altamente relevantes p a tomada de decisão. Abraço, Lembr Em 22 de fevereiro de 2012 00:17, Leonardo Rota Botelho leonardobote...@gmail.com escreveu: Gustavo, Nao seria WAF de Web Application Firewall? Caso sim, o pfSense teria o pacote do ModSecurity[1][2]. Nunca testei nele e nao sei se esta atualizado.. teria que dar uma olhada. [1]http://doc.pfsense.org/index.php/ProxyServerModSecurity_package [2]http://www.modsecurity.org/ abs! -- Leonardo Rota Botelho On Thursday, February 16, 2012 at 11:08 PM, mantunes wrote: WAS - Web Application Security Em 16 de fevereiro de 2012 19:30, Francisco Cardoso frica...@bsd.com.br (mailto:frica...@bsd.com.br) escreveu: Em 16 de fevereiro de 2012 14:38, Gustavo Freitas gst.frei...@gmail.com (mailto:gst.frei...@gmail.com)escreveu: Pessoal, Estamos avaliando colocar um IDS/IPS aqui na empresa alem de um WAS. Ele será somente para essa função já que temos um firewall. Estou vendo o pfsense, porem o mesmo não posso colocar um WAS (pelo menos o que eu saiba).. a fica na dúvida FreeBSD ou pfsense ?? qual seria melhor.. lembrando que o snort não tem interface web, teria que instalar. -- Gustavo Freitas - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd O que é WAS? -- Francisco Ricardo ___ Administrador de Redes e Sistemas Unix/Linux Profissional Certificado RedHat | Entusiasta FreeBSD Natal/RN | (84)9461-4801 | frica...@bsd.com.br (mailto: frica...@bsd.com.br) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- *Cristofe L. Rocha* Ciência da Computação Analista de Sistemas BSD - Administration - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
Deu certo sim Saul, Obrigada! Agora estou estudando como fazer uma lógica com as ACLs de acordo a minha necessidade; obrigada a todos! Thays From: paulo.rd...@bsd.com.br To: freebsd@fug.com.br Date: Mon, 6 Aug 2012 21:57:19 -0300 Subject: Re: [FUG-BR] snort e pf -Mensagem original- De: Leonardo Augusto Enviado: 06/08/2012, 18:01 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunt.: Re: [FUG-BR] snort e pf 2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 16:51, Rejaine Monteiro escreveu: costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. Continua tão bom quanto antes. :) atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à GPU, multithread e outras coisitas mais que o snort não faz e você pode aproveitar as regras do snort se já tiver usando. [1] - http://www.openinfosecfoundation.org/ O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. ate de olhos fechados.. Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... Viu lá o log do smtp ? parece que é algo com a criptografia... ou parece que o smtp auth não esta funcionando... Nunca vi um treco com tanto patch como esse qshit Pior que fiquei o domingo todo fuçando no postfix e daí acontece o contrário, envia, mas nao recebe, kkk da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei instalar ate de cabeça.. mas essa naba Por acaso você executou o postmap /etc/aliases? Leia a doc oficial do postfix, vai sacar de primeira. do smtp... ta osso. Voce nao andou escrevendo nenhum patch la pro port do qmail né ? []´s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 18:01, Leonardo Augusto escreveu: 2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 16:51, Rejaine Monteiro escreveu: costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. Continua tão bom quanto antes. :) atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à GPU, multithread e outras coisitas mais que o snort não faz e você pode aproveitar as regras do snort se já tiver usando. [1] - http://www.openinfosecfoundation.org/ O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. ate de olhos fechados.. qmail? rsrsrs não vejo qmail desde a época na Conectiva em 2000 rsrsrrs só tem 12 anos que não vejo ahahhaahah. Você já tentou usar o iRedMail? Ele faz a parte pesada da instalação dos pacotes e depois você configura o restante como quiser. :) http://iredmail.com/ http://iredmail.com/install_iredmail_on_freebsd.html Se for testar já tem a versão 0.8.1 porque a 0.8.0 tava com problemas na instalação dos pacotes. Tem backend para OpenLDAP, MySQL e PostgreSQL. :) Eles tem o iredadmin(programa de administração via web) pago e free, sendo que a versão paga é que é o bicho e não é tão caro: http://iredmail.com/admin_buy.html Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... Viu lá o log do smtp ? parece que é algo com a criptografia... ou parece que o smtp auth não esta funcionando... Nunca vi um treco com tanto patch como esse qshit Pior que fiquei o domingo todo fuçando no postfix e daí acontece o contrário, envia, mas nao recebe, kkk da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei instalar ate de cabeça.. mas essa naba do smtp... ta osso. Voce nao andou escrevendo nenhum patch la pro port do qmail né ? ahahhaha não não. rsrsrsr Marcelo, Só tenho o freebsd 9.x, o datacenter nao suporta mais o 8 ... Tentei em vao (umas 4x) instalar esse iredmail instalava tudo normal, quando ia rodar dava erro de mysql.. nenhuma das tranqueiras que eram para acessa-lo conseguiam faze-lo, comecando pelo iredadmin... Aí atualizei o ports e agora da erro num port la, py-nao lembro o que... nem instala ! lixo lixo, os caras so querem que funcione no linsucks, tanto que ta la na pagina deles: fix debian install bla bla bla de julho agora Pelo visto nem tentaram instalar no 9.1.. senao veriam os erros que da. Postei la no forum deles os problemas que tive... enfim... Sugeri até que removessem entao o suporte a freebsd, já que nao funciona, constar lá pra encher linguiça ? Tem vários outros caras reclamando disso no forum, que nao funciona em jail no freebsd 9.x dose.. só tomando um dreer - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
Em 07/08/2012 11:25, Leonardo Augusto escreveu: 2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 18:01, Leonardo Augusto escreveu: 2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 16:51, Rejaine Monteiro escreveu: costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. Continua tão bom quanto antes. :) atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à GPU, multithread e outras coisitas mais que o snort não faz e você pode aproveitar as regras do snort se já tiver usando. [1] - http://www.openinfosecfoundation.org/ O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. ate de olhos fechados.. qmail? rsrsrs não vejo qmail desde a época na Conectiva em 2000 rsrsrrs só tem 12 anos que não vejo ahahhaahah. Você já tentou usar o iRedMail? Ele faz a parte pesada da instalação dos pacotes e depois você configura o restante como quiser. :) http://iredmail.com/ http://iredmail.com/install_iredmail_on_freebsd.html Se for testar já tem a versão 0.8.1 porque a 0.8.0 tava com problemas na instalação dos pacotes. Tem backend para OpenLDAP, MySQL e PostgreSQL. :) Eles tem o iredadmin(programa de administração via web) pago e free, sendo que a versão paga é que é o bicho e não é tão caro: http://iredmail.com/admin_buy.html Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... Viu lá o log do smtp ? parece que é algo com a criptografia... ou parece que o smtp auth não esta funcionando... Nunca vi um treco com tanto patch como esse qshit Pior que fiquei o domingo todo fuçando no postfix e daí acontece o contrário, envia, mas nao recebe, kkk da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei instalar ate de cabeça.. mas essa naba do smtp... ta osso. Voce nao andou escrevendo nenhum patch la pro port do qmail né ? ahahhaha não não. rsrsrsr Marcelo, Só tenho o freebsd 9.x, o datacenter nao suporta mais o 8 ... Tentei em vao (umas 4x) instalar esse iredmail instalava tudo normal, quando ia rodar dava erro de mysql.. nenhuma das tranqueiras que eram para acessa-lo conseguiam faze-lo, comecando pelo iredadmin... Aí atualizei o ports e agora da erro num port la, py-nao lembro o que... nem instala ! lixo lixo, os caras so querem que funcione no linsucks, tanto que ta la na pagina deles: fix debian install bla bla bla de julho agora Pelo visto nem tentaram instalar no 9.1.. senao veriam os erros que da. Postei la no forum deles os problemas que tive... enfim... Sugeri até que removessem entao o suporte a freebsd, já que nao funciona, constar lá pra encher linguiça ? Tem vários outros caras reclamando disso no forum, que nao funciona em jail no freebsd 9.x dose.. só tomando um dreer opa Leonardo, Estranho cara, eu testei esse 0.8.1 aqui em uma vm do virtualbox, instalou e levantou tudo inclusive o mysql. Vou fazer o seguinte: assim resolver uns pepinos aqui hoje do trampo, vou pegar um servidor de backup aqui, instalar o FreeBSD 9.1-BETA e atualizar para o 9.1-PRERELEASE. Depois vou baixar e instalar o iredmail 0.8.1 pra ver. Você quer instalar ele em jail? Vou fazer os testes aqui e te digo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
2012/8/7 Marcelo Gondim gon...@bsdinfo.com.br: Em 07/08/2012 11:25, Leonardo Augusto escreveu: 2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 18:01, Leonardo Augusto escreveu: 2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 16:51, Rejaine Monteiro escreveu: costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. Continua tão bom quanto antes. :) atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à GPU, multithread e outras coisitas mais que o snort não faz e você pode aproveitar as regras do snort se já tiver usando. [1] - http://www.openinfosecfoundation.org/ O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. ate de olhos fechados.. qmail? rsrsrs não vejo qmail desde a época na Conectiva em 2000 rsrsrrs só tem 12 anos que não vejo ahahhaahah. Você já tentou usar o iRedMail? Ele faz a parte pesada da instalação dos pacotes e depois você configura o restante como quiser. :) http://iredmail.com/ http://iredmail.com/install_iredmail_on_freebsd.html Se for testar já tem a versão 0.8.1 porque a 0.8.0 tava com problemas na instalação dos pacotes. Tem backend para OpenLDAP, MySQL e PostgreSQL. :) Eles tem o iredadmin(programa de administração via web) pago e free, sendo que a versão paga é que é o bicho e não é tão caro: http://iredmail.com/admin_buy.html Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... Viu lá o log do smtp ? parece que é algo com a criptografia... ou parece que o smtp auth não esta funcionando... Nunca vi um treco com tanto patch como esse qshit Pior que fiquei o domingo todo fuçando no postfix e daí acontece o contrário, envia, mas nao recebe, kkk da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei instalar ate de cabeça.. mas essa naba do smtp... ta osso. Voce nao andou escrevendo nenhum patch la pro port do qmail né ? ahahhaha não não. rsrsrsr Marcelo, Só tenho o freebsd 9.x, o datacenter nao suporta mais o 8 ... Tentei em vao (umas 4x) instalar esse iredmail instalava tudo normal, quando ia rodar dava erro de mysql.. nenhuma das tranqueiras que eram para acessa-lo conseguiam faze-lo, comecando pelo iredadmin... Aí atualizei o ports e agora da erro num port la, py-nao lembro o que... nem instala ! lixo lixo, os caras so querem que funcione no linsucks, tanto que ta la na pagina deles: fix debian install bla bla bla de julho agora Pelo visto nem tentaram instalar no 9.1.. senao veriam os erros que da. Postei la no forum deles os problemas que tive... enfim... Sugeri até que removessem entao o suporte a freebsd, já que nao funciona, constar lá pra encher linguiça ? Tem vários outros caras reclamando disso no forum, que nao funciona em jail no freebsd 9.x dose.. só tomando um dreer opa Leonardo, Estranho cara, eu testei esse 0.8.1 aqui em uma vm do virtualbox, instalou e levantou tudo inclusive o mysql. Vou fazer o seguinte: assim resolver uns pepinos aqui hoje do trampo, vou pegar um servidor de backup aqui, instalar o FreeBSD 9.1-BETA e atualizar para o 9.1-PRERELEASE. Depois vou baixar e instalar o iredmail 0.8.1 pra ver. Você quer instalar ele em jail? Vou fazer os testes aqui e te digo. - Então Marcelo, isso mesmo que fiz, peguei o 9.1 beta, atualizei para o prerelease Aí criei 8 jails em ips diferentes, preciso instalar em jail pois facilita backup e manutencao. Baixei a ultima versao do iredmail e fiz tudo conforme a instrucao, hostname ok, reverso ok, batch static ok, etc. Na primeira vez, instalou mas nada se comunicava como mysql, o mysql tava no ar... Atualizei o ports ontem e fiz denovo, aí nem a instalacao funcinava, dava erro num port la do python... Enfim, se tu conseguir nas mesmas condicoes que eu tentei, sem erro, e sem meter a mao em nada, eu vou pegar a 12 e me matar, ehehe []´s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
Em 07/08/2012 13:35, Leonardo Augusto escreveu: 2012/8/7 Marcelo Gondim gon...@bsdinfo.com.br: Em 07/08/2012 11:25, Leonardo Augusto escreveu: 2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 18:01, Leonardo Augusto escreveu: 2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 16:51, Rejaine Monteiro escreveu: costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. Continua tão bom quanto antes. :) atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à GPU, multithread e outras coisitas mais que o snort não faz e você pode aproveitar as regras do snort se já tiver usando. [1] - http://www.openinfosecfoundation.org/ O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. ate de olhos fechados.. qmail? rsrsrs não vejo qmail desde a época na Conectiva em 2000 rsrsrrs só tem 12 anos que não vejo ahahhaahah. Você já tentou usar o iRedMail? Ele faz a parte pesada da instalação dos pacotes e depois você configura o restante como quiser. :) http://iredmail.com/ http://iredmail.com/install_iredmail_on_freebsd.html Se for testar já tem a versão 0.8.1 porque a 0.8.0 tava com problemas na instalação dos pacotes. Tem backend para OpenLDAP, MySQL e PostgreSQL. :) Eles tem o iredadmin(programa de administração via web) pago e free, sendo que a versão paga é que é o bicho e não é tão caro: http://iredmail.com/admin_buy.html Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... Viu lá o log do smtp ? parece que é algo com a criptografia... ou parece que o smtp auth não esta funcionando... Nunca vi um treco com tanto patch como esse qshit Pior que fiquei o domingo todo fuçando no postfix e daí acontece o contrário, envia, mas nao recebe, kkk da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei instalar ate de cabeça.. mas essa naba do smtp... ta osso. Voce nao andou escrevendo nenhum patch la pro port do qmail né ? ahahhaha não não. rsrsrsr Marcelo, Só tenho o freebsd 9.x, o datacenter nao suporta mais o 8 ... Tentei em vao (umas 4x) instalar esse iredmail instalava tudo normal, quando ia rodar dava erro de mysql.. nenhuma das tranqueiras que eram para acessa-lo conseguiam faze-lo, comecando pelo iredadmin... Aí atualizei o ports e agora da erro num port la, py-nao lembro o que... nem instala ! lixo lixo, os caras so querem que funcione no linsucks, tanto que ta la na pagina deles: fix debian install bla bla bla de julho agora Pelo visto nem tentaram instalar no 9.1.. senao veriam os erros que da. Postei la no forum deles os problemas que tive... enfim... Sugeri até que removessem entao o suporte a freebsd, já que nao funciona, constar lá pra encher linguiça ? Tem vários outros caras reclamando disso no forum, que nao funciona em jail no freebsd 9.x dose.. só tomando um dreer opa Leonardo, Estranho cara, eu testei esse 0.8.1 aqui em uma vm do virtualbox, instalou e levantou tudo inclusive o mysql. Vou fazer o seguinte: assim resolver uns pepinos aqui hoje do trampo, vou pegar um servidor de backup aqui, instalar o FreeBSD 9.1-BETA e atualizar para o 9.1-PRERELEASE. Depois vou baixar e instalar o iredmail 0.8.1 pra ver. Você quer instalar ele em jail? Vou fazer os testes aqui e te digo. - Então Marcelo, isso mesmo que fiz, peguei o 9.1 beta, atualizei para o prerelease Aí criei 8 jails em ips diferentes, preciso instalar em jail pois facilita backup e manutencao. Baixei a ultima versao do iredmail e fiz tudo conforme a instrucao, hostname ok, reverso ok, batch static ok, etc. Na primeira vez, instalou mas nada se comunicava como mysql, o mysql tava no ar... Atualizei o ports ontem e fiz denovo, aí nem a instalacao funcinava, dava erro num port la do python... Enfim, se tu conseguir nas mesmas condicoes que eu tentei, sem erro, e sem meter a mao em nada, eu vou pegar a 12 e me matar, ehehe hHahAhaH separa a 12 aí pra mim e uma munição cerrada ahahahahah Você prefere ser arremessado igual aqueles pratos? HAhahAhahAhAH Vou testar aqui e te falo :D Grande abraço - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
2012/8/7 Marcelo Gondim gon...@bsdinfo.com.br: Em 07/08/2012 13:35, Leonardo Augusto escreveu: 2012/8/7 Marcelo Gondim gon...@bsdinfo.com.br: Em 07/08/2012 11:25, Leonardo Augusto escreveu: 2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 18:01, Leonardo Augusto escreveu: 2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 16:51, Rejaine Monteiro escreveu: costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. Continua tão bom quanto antes. :) atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à GPU, multithread e outras coisitas mais que o snort não faz e você pode aproveitar as regras do snort se já tiver usando. [1] - http://www.openinfosecfoundation.org/ O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. ate de olhos fechados.. qmail? rsrsrs não vejo qmail desde a época na Conectiva em 2000 rsrsrrs só tem 12 anos que não vejo ahahhaahah. Você já tentou usar o iRedMail? Ele faz a parte pesada da instalação dos pacotes e depois você configura o restante como quiser. :) http://iredmail.com/ http://iredmail.com/install_iredmail_on_freebsd.html Se for testar já tem a versão 0.8.1 porque a 0.8.0 tava com problemas na instalação dos pacotes. Tem backend para OpenLDAP, MySQL e PostgreSQL. :) Eles tem o iredadmin(programa de administração via web) pago e free, sendo que a versão paga é que é o bicho e não é tão caro: http://iredmail.com/admin_buy.html Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... Viu lá o log do smtp ? parece que é algo com a criptografia... ou parece que o smtp auth não esta funcionando... Nunca vi um treco com tanto patch como esse qshit Pior que fiquei o domingo todo fuçando no postfix e daí acontece o contrário, envia, mas nao recebe, kkk da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei instalar ate de cabeça.. mas essa naba do smtp... ta osso. Voce nao andou escrevendo nenhum patch la pro port do qmail né ? ahahhaha não não. rsrsrsr Marcelo, Só tenho o freebsd 9.x, o datacenter nao suporta mais o 8 ... Tentei em vao (umas 4x) instalar esse iredmail instalava tudo normal, quando ia rodar dava erro de mysql.. nenhuma das tranqueiras que eram para acessa-lo conseguiam faze-lo, comecando pelo iredadmin... Aí atualizei o ports e agora da erro num port la, py-nao lembro o que... nem instala ! lixo lixo, os caras so querem que funcione no linsucks, tanto que ta la na pagina deles: fix debian install bla bla bla de julho agora Pelo visto nem tentaram instalar no 9.1.. senao veriam os erros que da. Postei la no forum deles os problemas que tive... enfim... Sugeri até que removessem entao o suporte a freebsd, já que nao funciona, constar lá pra encher linguiça ? Tem vários outros caras reclamando disso no forum, que nao funciona em jail no freebsd 9.x dose.. só tomando um dreer opa Leonardo, Estranho cara, eu testei esse 0.8.1 aqui em uma vm do virtualbox, instalou e levantou tudo inclusive o mysql. Vou fazer o seguinte: assim resolver uns pepinos aqui hoje do trampo, vou pegar um servidor de backup aqui, instalar o FreeBSD 9.1-BETA e atualizar para o 9.1-PRERELEASE. Depois vou baixar e instalar o iredmail 0.8.1 pra ver. Você quer instalar ele em jail? Vou fazer os testes aqui e te digo. - Então Marcelo, isso mesmo que fiz, peguei o 9.1 beta, atualizei para o prerelease Aí criei 8 jails em ips diferentes, preciso instalar em jail pois facilita backup e manutencao. Baixei a ultima versao do iredmail e fiz tudo conforme a instrucao, hostname ok, reverso ok, batch static ok, etc. Na primeira vez, instalou mas nada se comunicava como mysql, o mysql tava no ar... Atualizei o ports ontem e fiz denovo, aí nem a instalacao funcinava, dava erro num port la do python... Enfim, se tu conseguir nas mesmas condicoes que eu tentei, sem erro, e sem meter a mao em nada, eu vou pegar a 12 e me matar, ehehe hHahAhaH separa a 12 aí pra mim e uma munição cerrada ahahahahah Você prefere ser arremessado igual aqueles pratos? HAhahAhahAhAH Vou testar aqui e te falo :D Grande abraço Vou te mandar um root ssh pra entrar num jail que ja tenho pronto aqui, aí facilita pra vc, nao precisa instalar nada ai ja te mando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista:
[FUG-BR] snort e pf
Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Rejaine da Silveira Monteiro Suporte-TI Jamef Encomendas Urgentes Matriz - Contagem/MG Tel: (31) 2102-8854 www.jamef.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
Em 06/08/2012 16:51, Rejaine Monteiro escreveu: costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. Continua tão bom quanto antes. :) atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à GPU, multithread e outras coisitas mais que o snort não faz e você pode aproveitar as regras do snort se já tiver usando. [1] - http://www.openinfosecfoundation.org/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 16:51, Rejaine Monteiro escreveu: costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. Continua tão bom quanto antes. :) atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à GPU, multithread e outras coisitas mais que o snort não faz e você pode aproveitar as regras do snort se já tiver usando. [1] - http://www.openinfosecfoundation.org/ O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. ate de olhos fechados.. Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... Viu lá o log do smtp ? parece que é algo com a criptografia... ou parece que o smtp auth não esta funcionando... Nunca vi um treco com tanto patch como esse qshit Pior que fiquei o domingo todo fuçando no postfix e daí acontece o contrário, envia, mas nao recebe, kkk da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei instalar ate de cabeça.. mas essa naba do smtp... ta osso. Voce nao andou escrevendo nenhum patch la pro port do qmail né ? []´s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
Em 06/08/2012 18:01, Leonardo Augusto escreveu: 2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 16:51, Rejaine Monteiro escreveu: costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. Continua tão bom quanto antes. :) atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à GPU, multithread e outras coisitas mais que o snort não faz e você pode aproveitar as regras do snort se já tiver usando. [1] - http://www.openinfosecfoundation.org/ O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. ate de olhos fechados.. qmail? rsrsrs não vejo qmail desde a época na Conectiva em 2000 rsrsrrs só tem 12 anos que não vejo ahahhaahah. Você já tentou usar o iRedMail? Ele faz a parte pesada da instalação dos pacotes e depois você configura o restante como quiser. :) http://iredmail.com/ http://iredmail.com/install_iredmail_on_freebsd.html Se for testar já tem a versão 0.8.1 porque a 0.8.0 tava com problemas na instalação dos pacotes. Tem backend para OpenLDAP, MySQL e PostgreSQL. :) Eles tem o iredadmin(programa de administração via web) pago e free, sendo que a versão paga é que é o bicho e não é tão caro: http://iredmail.com/admin_buy.html Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... Viu lá o log do smtp ? parece que é algo com a criptografia... ou parece que o smtp auth não esta funcionando... Nunca vi um treco com tanto patch como esse qshit Pior que fiquei o domingo todo fuçando no postfix e daí acontece o contrário, envia, mas nao recebe, kkk da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei instalar ate de cabeça.. mas essa naba do smtp... ta osso. Voce nao andou escrevendo nenhum patch la pro port do qmail né ? ahahhaha não não. rsrsrsr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort e pf
-Mensagem original- De: Leonardo Augusto Enviado: 06/08/2012, 18:01 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunt.: Re: [FUG-BR] snort e pf 2012/8/6 Marcelo Gondim gon...@bsdinfo.com.br: Em 06/08/2012 16:51, Rejaine Monteiro escreveu: costumava usar algumas regras do http://www.emergingthreats.net ma não sei como anda o projeto hj em dia. Continua tão bom quanto antes. :) atualiza baixando em http://www.emergingthreats.net/rules/emerging.rules.tar.gz Em 06-08-2012 16:43, Anderson Alves de Albuquerque escreveu: Eu estou querendo bloquear P2P via detecção via snort. Olhei o p2p.rules do snort e constatei que existem poucas rules (regras). Onde eu conseguiria pegar mais rules e rules atualizadas? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ao invés do snort usa o suricata [1]. Muito melhor, já tem suporte à GPU, multithread e outras coisitas mais que o snort não faz e você pode aproveitar as regras do snort se já tiver usando. [1] - http://www.openinfosecfoundation.org/ O Marcelo me ajuda la no qmail... FAMP é molezinha né... eheh até eu.. ate de olhos fechados.. Agora o qmail ta matando.. Nao sei nem como cheguei lá onde tá agora... Viu lá o log do smtp ? parece que é algo com a criptografia... ou parece que o smtp auth não esta funcionando... Nunca vi um treco com tanto patch como esse qshit Pior que fiquei o domingo todo fuçando no postfix e daí acontece o contrário, envia, mas nao recebe, kkk da um erro de /etc/alias sei la o que... aí desanima... o qmail já sei instalar ate de cabeça.. mas essa naba Por acaso você executou o postmap /etc/aliases? Leia a doc oficial do postfix, vai sacar de primeira. do smtp... ta osso. Voce nao andou escrevendo nenhum patch la pro port do qmail né ? []´s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort: FreeBSD ou Pfsense
Gustavo, Nao seria WAF de Web Application Firewall? Caso sim, o pfSense teria o pacote do ModSecurity[1][2]. Nunca testei nele e nao sei se esta atualizado.. teria que dar uma olhada. [1]http://doc.pfsense.org/index.php/ProxyServerModSecurity_package [2]http://www.modsecurity.org/ abs! -- Leonardo Rota Botelho On Thursday, February 16, 2012 at 11:08 PM, mantunes wrote: WAS - Web Application Security Em 16 de fevereiro de 2012 19:30, Francisco Cardoso frica...@bsd.com.br (mailto:frica...@bsd.com.br) escreveu: Em 16 de fevereiro de 2012 14:38, Gustavo Freitas gst.frei...@gmail.com (mailto:gst.frei...@gmail.com)escreveu: Pessoal, Estamos avaliando colocar um IDS/IPS aqui na empresa alem de um WAS. Ele será somente para essa função já que temos um firewall. Estou vendo o pfsense, porem o mesmo não posso colocar um WAS (pelo menos o que eu saiba).. a fica na dúvida FreeBSD ou pfsense ?? qual seria melhor.. lembrando que o snort não tem interface web, teria que instalar. -- Gustavo Freitas - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd O que é WAS? -- Francisco Ricardo ___ Administrador de Redes e Sistemas Unix/Linux Profissional Certificado RedHat | Entusiasta FreeBSD Natal/RN | (84)9461-4801 | frica...@bsd.com.br (mailto:frica...@bsd.com.br) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Snort: FreeBSD ou Pfsense
Pessoal, Estamos avaliando colocar um IDS/IPS aqui na empresa alem de um WAS. Ele será somente para essa função já que temos um firewall. Estou vendo o pfsense, porem o mesmo não posso colocar um WAS (pelo menos o que eu saiba).. a fica na dúvida FreeBSD ou pfsense ?? qual seria melhor.. lembrando que o snort não tem interface web, teria que instalar. -- Gustavo Freitas - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort: FreeBSD ou Pfsense
Em 16 de fevereiro de 2012 14:38, Gustavo Freitas gst.frei...@gmail.comescreveu: Pessoal, Estamos avaliando colocar um IDS/IPS aqui na empresa alem de um WAS. Ele será somente para essa função já que temos um firewall. Estou vendo o pfsense, porem o mesmo não posso colocar um WAS (pelo menos o que eu saiba).. a fica na dúvida FreeBSD ou pfsense ?? qual seria melhor.. lembrando que o snort não tem interface web, teria que instalar. -- Gustavo Freitas - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd O que é WAS? -- Francisco Ricardo ___ Administrador de Redes e Sistemas Unix/Linux Profissional Certificado RedHat | Entusiasta FreeBSD Natal/RN | (84)9461-4801 | frica...@bsd.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort: FreeBSD ou Pfsense
WAS - Web Application Security Em 16 de fevereiro de 2012 19:30, Francisco Cardoso frica...@bsd.com.br escreveu: Em 16 de fevereiro de 2012 14:38, Gustavo Freitas gst.frei...@gmail.comescreveu: Pessoal, Estamos avaliando colocar um IDS/IPS aqui na empresa alem de um WAS. Ele será somente para essa função já que temos um firewall. Estou vendo o pfsense, porem o mesmo não posso colocar um WAS (pelo menos o que eu saiba).. a fica na dúvida FreeBSD ou pfsense ?? qual seria melhor.. lembrando que o snort não tem interface web, teria que instalar. -- Gustavo Freitas - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd O que é WAS? -- Francisco Ricardo ___ Administrador de Redes e Sistemas Unix/Linux Profissional Certificado RedHat | Entusiasta FreeBSD Natal/RN | (84)9461-4801 | frica...@bsd.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Snort
Bom dia, Alguém tem um tutorial de Freebsd+snort+guardian que possa me enviar. Obrigado Washington Soares Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort + libipq.h
2010/1/6 Fábio Ferrão ferra...@gmail.com: Prezados, estou compilando o snort no freebsd via ports e estou passando os parâmetros *--enable-inline e --enable-ipfw*, porém está ocorrendo o seguinte erro: *configure: error: libipq.h not found* Eu sei que está faltando esta lib, porém esta lib só é necessária se eu utilizar o iptables, mas no meu caso utilizarei o ipfw/divert, conforme parâmetros já mencionados. Alguém pode me ajudar a solucionar este problema? -- Fábio Ferrão E conhecereis a verdade e a verdade vos libertará. João 8.32 And you will know the truth and the truth you will free. John 8.32 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Use os ports creio que terá mais sucesso /usr/port/security/snort_inline se não me engano é o diretorio. make install clean e ai se preocupa com o que realmente importante, esse lance de dependencias é só no linux mesmo, duvido muito ter isso em freebsd quando se usa as ferramentas disponibilizadas por ele. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Snort + libipq.h
Prezados, estou compilando o snort no freebsd via ports e estou passando os parâmetros *--enable-inline e --enable-ipfw*, porém está ocorrendo o seguinte erro: *configure: error: libipq.h not found* Eu sei que está faltando esta lib, porém esta lib só é necessária se eu utilizar o iptables, mas no meu caso utilizarei o ipfw/divert, conforme parâmetros já mencionados. Alguém pode me ajudar a solucionar este problema? -- Fábio Ferrão E conhecereis a verdade e a verdade vos libertará.João 8.32 And you will know the truth and the truth you will free.John 8.32 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Snort + barnyard
Pessoal, Estou com a seguinte mensagem de warning ao inicializar o barnyard: *[r...@badejo ~]# /usr/local/bin/barnyard -c /usr/local/etc/snort/barnyard.conf -d /var/log/snort/ -a /var/log/snort/processados/ -f snort.log -w /usr/local/etc/snort/snort.log.bookmark Barnyard Version 0.2.0 (Build 32) WARNING: Unable to extract timestamp file extension from 'snort.log' Opened spool file '/var/log/snort//snort.log.1254406332' WARNING: Unable to extract timestamp file extension from 'snort.log' Waiting for new data WARNING: Unable to extract timestamp file extension from 'snort.log' WARNING: Unable to extract timestamp file extension from 'snort.log' WARNING: Unable to extract timestamp file extension from 'snort.log' WARNING: Unable to extract timestamp file extension from 'snort.log' WARNING: Unable to extract timestamp file extension from 'snort.log' WARNING: Unable to extract timestamp file extension from 'snort.log'*** Fiz algumas pesquisas, mas ainda não consegui achar nada para resolver este warning. Alguém tem alguma dica? Valeu. -- Fábio Ferrão E conhecereis a verdade e a verdade vos libertará.João 8.32 And you will know the truth and the truth you will free.John 8.32 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] SNORT
Pessoal. Trabalho em um provedor, e gostaria de saber por onde começar com o uso do SNORT. Hoje eu tenho um firewall rodando FreeBSD 7.0-RELEASE com PF. Possuo também o IPFW compilado, mas as regras estão todas em PF (ipfw somente allow ip from any to any). Como eu poderia integrar o SNORT à essa mesma máquina ? Snort_inline ? Gostaria de ser avisado de problemas na rede (IDS), bem como ele tomar algumas medidas (IPS) do tipo blacklist de IP. Tenho um tráfego de 40Mbps. O hardware é bacana para um simples router: AMD Athlon(tm) 64 X2 Dual Core Processor 4400+ usable memory = 1061187584 (1012 MB) Será que ele aguentaria tudo isso junto ? Poderiam me enviar alguns links ? Agradeço desde já. Sds, Eduardo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort + SnortSAM
2008/10/30 Augusto Ferronato [EMAIL PROTECTED]: nos logs do snort não diz nada /var/log/snort/ Nunca mexi com snortsam ? Abs[] 2008/10/30 Celso Viana [EMAIL PROTECTED] All, Tenho um snort + snortsam instalado num FreeBSD 7.0 (tudo pelo ports); no snort.conf alterei apenas as variáveis básicas... O snortsam.conf está como abaixo... #defaultkey secrets fwsam 10.10.5.1 bindip 10.10.5.1 keyinterval 30 minutes logfile /var/log/snortsam.log loglevel 3 daemon ipfw2 fxp0 10 11 dontblock 10.10.5.1 O snort está gerando os alerts normalmente... o problema é que quando adiciono a linha... output alert_fwsam: 10.10.5.1/secrets no snort.conf não são mais gerados os alerts... Alguém pode ajudar a resolver isso...??? Thanks -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. FreeBSD: The Freedom to Perform! http://www.spreadbsd.org/aff/40/1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Augusto, Veja parte do log gerado durante a inicializacao do snort... Nov 1 07:12:10 teste snort[6453]: INFO = [Alert_FWsam](FWsamCheckIn) Connected to host . Nov 1 07:12:13 teste snort[6453]: WARNING = [Alert_FWsam](FWsamCheckIn) Did not receive response from host . Will try again later. -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort + SnortSAM
Celso, infelizmente não tenho muita idéia do que está acontecendo, mas na lista do www.snort.org.br o pessoal vai poder te ajudar com certeza ;) Abs[] 2008/11/2 Celso Viana [EMAIL PROTECTED] 2008/10/30 Augusto Ferronato [EMAIL PROTECTED]: nos logs do snort não diz nada /var/log/snort/ Nunca mexi com snortsam ? Abs[] 2008/10/30 Celso Viana [EMAIL PROTECTED] All, Tenho um snort + snortsam instalado num FreeBSD 7.0 (tudo pelo ports); no snort.conf alterei apenas as variáveis básicas... O snortsam.conf está como abaixo... #defaultkey secrets fwsam 10.10.5.1 bindip 10.10.5.1 keyinterval 30 minutes logfile /var/log/snortsam.log loglevel 3 daemon ipfw2 fxp0 10 11 dontblock 10.10.5.1 O snort está gerando os alerts normalmente... o problema é que quando adiciono a linha... output alert_fwsam: 10.10.5.1/secrets no snort.conf não são mais gerados os alerts... Alguém pode ajudar a resolver isso...??? Thanks -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. FreeBSD: The Freedom to Perform! http://www.spreadbsd.org/aff/40/1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Augusto, Veja parte do log gerado durante a inicializacao do snort... Nov 1 07:12:10 teste snort[6453]: INFO = [Alert_FWsam](FWsamCheckIn) Connected to host . Nov 1 07:12:13 teste snort[6453]: WARNING = [Alert_FWsam](FWsamCheckIn) Did not receive response from host . Will try again later. -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. FreeBSD: The Freedom to Perform! http://www.spreadbsd.org/aff/40/1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Snort + SnortSAM
All, Tenho um snort + snortsam instalado num FreeBSD 7.0 (tudo pelo ports); no snort.conf alterei apenas as variáveis básicas... O snortsam.conf está como abaixo... #defaultkey secrets fwsam 10.10.5.1 bindip 10.10.5.1 keyinterval 30 minutes logfile /var/log/snortsam.log loglevel 3 daemon ipfw2 fxp0 10 11 dontblock 10.10.5.1 O snort está gerando os alerts normalmente... o problema é que quando adiciono a linha... output alert_fwsam: 10.10.5.1/secrets no snort.conf não são mais gerados os alerts... Alguém pode ajudar a resolver isso...??? Thanks -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort + SnortSAM
nos logs do snort não diz nada /var/log/snort/ Nunca mexi com snortsam ? Abs[] 2008/10/30 Celso Viana [EMAIL PROTECTED] All, Tenho um snort + snortsam instalado num FreeBSD 7.0 (tudo pelo ports); no snort.conf alterei apenas as variáveis básicas... O snortsam.conf está como abaixo... #defaultkey secrets fwsam 10.10.5.1 bindip 10.10.5.1 keyinterval 30 minutes logfile /var/log/snortsam.log loglevel 3 daemon ipfw2 fxp0 10 11 dontblock 10.10.5.1 O snort está gerando os alerts normalmente... o problema é que quando adiciono a linha... output alert_fwsam: 10.10.5.1/secrets no snort.conf não são mais gerados os alerts... Alguém pode ajudar a resolver isso...??? Thanks -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. FreeBSD: The Freedom to Perform! http://www.spreadbsd.org/aff/40/1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort + SnortSAM
2008/10/30 Augusto Ferronato [EMAIL PROTECTED]: nos logs do snort não diz nada /var/log/snort/ Nunca mexi com snortsam ? Abs[] 2008/10/30 Celso Viana [EMAIL PROTECTED] All, Tenho um snort + snortsam instalado num FreeBSD 7.0 (tudo pelo ports); no snort.conf alterei apenas as variáveis básicas... O snortsam.conf está como abaixo... #defaultkey secrets fwsam 10.10.5.1 bindip 10.10.5.1 keyinterval 30 minutes logfile /var/log/snortsam.log loglevel 3 daemon ipfw2 fxp0 10 11 dontblock 10.10.5.1 O snort está gerando os alerts normalmente... o problema é que quando adiciono a linha... output alert_fwsam: 10.10.5.1/secrets no snort.conf não são mais gerados os alerts... Alguém pode ajudar a resolver isso...??? Thanks -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. FreeBSD: The Freedom to Perform! http://www.spreadbsd.org/aff/40/1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Em /var/log/snor/ estão os alerts... os logs gerados pelas regras ... Thanks -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] snort wireless
Pessoal, alguém está usando o snort wireless no free 7 ? Não consegui localizá-lo no ports. Como posso instalá-lo ? Aguiar Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] snort + guardian
Bom dia Senhores, Senhores eu ja utilizei o snort + guardian algumas vezes em meus servidores, mais desta vez eu compilei o snort ele roda tudo mais nao esta gerando os logs, e ele cria uns arquivos de log como snort.log.01928981, consequentemente o guardian nao lê esse log pois esta especificado em sua configuração para a leitura do /var/log/snort/alert, existe alguma forma de forçar o snort a jogar seus logs neste local? Atenciosamente: Guilherme Rosário _ O Windows Live Spaces é seu espaço na internet com fotos (500 por mês), blog e agora com rede social http://spaces.live.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort + guardian
Bom dia Guilherme, Porque você não usa o OSSEC (www.ossec.net)? ele também ler os logs do snort e inclui os ips no firewall... funciona perfeitamente no BSD... essa é apenas uma das inúmes utilidades do OSSEC, além de ser um projeto brasileiro. Brasileiro OSSEC HIDS é eleito como melhor ferramenta open source de segurança corporativa: http://www.linuxworld.com/news/2007/031207-top-5-security.html Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Guilherme Rosário [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Wednesday, June 13, 2007 10:17 AM Subject: [FUG-BR] snort + guardian Bom dia Senhores, Senhores eu ja utilizei o snort + guardian algumas vezes em meus servidores, mais desta vez eu compilei o snort ele roda tudo mais nao esta gerando os logs, e ele cria uns arquivos de log como snort.log.01928981, consequentemente o guardian nao lê esse log pois esta especificado em sua configuração para a leitura do /var/log/snort/alert, existe alguma forma de forçar o snort a jogar seus logs neste local? Atenciosamente: Guilherme Rosário _ O Windows Live Spaces é seu espaço na internet com fotos (500 por mês), blog e agora com rede social http://spaces.live.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Snort - Ossec - Pigmeet
Pessoal venho estudando sobre segurança, redes e por ai vai ... gostaria de saber se a integração com snort + pigmmet + ossec vale apena ... vi comentarios que eram gerados muitos falsos alertas, comprometendo o uso de certos serviços do servidor ... porém pelo que já li sobre o Snort (NIDS), é uma ferramenta que um servidor de segurança não pode deixar de ter ... onde o pigmeet integra o Snort com as regras do firewall (me corrijam se estou falando besteira) e o Ossec (HIDS) auxilia no controle de logs de segurança do sistema em geral, integridade do sistema, detecta rootkits e assim por diante ... Logo essas 3 ferramentas parecem muito boas ... porém não tenho muita experiencia com isso, gostaria de saber do pessoal que já mexe a algum tempo encima de segurança o que que recomendam para garantir uma ótima segurança, em questão de ferramentas para auxiliar o trabalho ... Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort - Ossec - Pigmeet
Rafael, Tenho aqui Snort 2.6 com OSSEC 0.9 (tenho que atualizar ;-)... não sei para que serve esse pigmeet, se a idéia dele é incluir regras no firewall para bloquear o ip então ele não tem utilidade nesse cenário, pois o OSSEC já faz isso... na época falei diretamente com o desenvolvedor do OSSEC (Daniel Cid), e durante vários dias fizemos testes até funcionar com FreeBSD + IPFW... Realmente o SNORT precisa de alguns ajustes, pois tudo que sai no log (/var/log/snort/alert) o ossec bloqueia no firewall.. às vezes eu só conectava no servidor via http, listava uns arquivos e do nada já estava incluído no firewall... aos poucos fui desligando alguns alertas do snort e hoje já dar pra usar... Para acompanhar os bloqueios você também pode usar o BASE (http://sourceforge.net/projects/secureideas). Abraço e boa sorte. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Rafael Busetti [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, March 03, 2007 12:24 PM Subject: [FUG-BR] Snort - Ossec - Pigmeet Pessoal venho estudando sobre segurança, redes e por ai vai ... gostaria de saber se a integração com snort + pigmmet + ossec vale apena ... vi comentarios que eram gerados muitos falsos alertas, comprometendo o uso de certos serviços do servidor ... porém pelo que já li sobre o Snort (NIDS), é uma ferramenta que um servidor de segurança não pode deixar de ter ... onde o pigmeet integra o Snort com as regras do firewall (me corrijam se estou falando besteira) e o Ossec (HIDS) auxilia no controle de logs de segurança do sistema em geral, integridade do sistema, detecta rootkits e assim por diante ... Logo essas 3 ferramentas parecem muito boas ... porém não tenho muita experiencia com isso, gostaria de saber do pessoal que já mexe a algum tempo encima de segurança o que que recomendam para garantir uma ótima segurança, em questão de ferramentas para auxiliar o trabalho ... Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Snort - Ossec - Pigmeet
Interessante, quando li sobre o OSSEC não tinha percebido que ele fazia esse controle de bloqueios no ipfw =), vlw pela dica amigo. Conhece mais alguma ferramenta que auxilia a segurança no BSD? Vlw! Em 03/03/07, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: Rafael, Tenho aqui Snort 2.6 com OSSEC 0.9 (tenho que atualizar ;-)... não sei para que serve esse pigmeet, se a idéia dele é incluir regras no firewall para bloquear o ip então ele não tem utilidade nesse cenário, pois o OSSEC já faz isso... na época falei diretamente com o desenvolvedor do OSSEC (Daniel Cid), e durante vários dias fizemos testes até funcionar com FreeBSD + IPFW... Realmente o SNORT precisa de alguns ajustes, pois tudo que sai no log (/var/log/snort/alert) o ossec bloqueia no firewall.. às vezes eu só conectava no servidor via http, listava uns arquivos e do nada já estava incluído no firewall... aos poucos fui desligando alguns alertas do snort e hoje já dar pra usar... Para acompanhar os bloqueios você também pode usar o BASE (http://sourceforge.net/projects/secureideas). Abraço e boa sorte. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Original Message - From: Rafael Busetti [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, March 03, 2007 12:24 PM Subject: [FUG-BR] Snort - Ossec - Pigmeet Pessoal venho estudando sobre segurança, redes e por ai vai ... gostaria de saber se a integração com snort + pigmmet + ossec vale apena ... vi comentarios que eram gerados muitos falsos alertas, comprometendo o uso de certos serviços do servidor ... porém pelo que já li sobre o Snort (NIDS), é uma ferramenta que um servidor de segurança não pode deixar de ter ... onde o pigmeet integra o Snort com as regras do firewall (me corrijam se estou falando besteira) e o Ossec (HIDS) auxilia no controle de logs de segurança do sistema em geral, integridade do sistema, detecta rootkits e assim por diante ... Logo essas 3 ferramentas parecem muito boas ... porém não tenho muita experiencia com isso, gostaria de saber do pessoal que já mexe a algum tempo encima de segurança o que que recomendam para garantir uma ótima segurança, em questão de ferramentas para auxiliar o trabalho ... Obrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Snort/OSSEC/IPFW e detecção de port scan
Pessoal, Alguém poderia me dar uma dica de como desativar a checagem de portscan do Snort? quase todos os dias meu Snort detecta algum tipo de portscan de ips que acredito que não estejam fazendo isso... outro dia foi o próprio dns primário da velox... (a net parou geral, pra descobrir..), ontem foi o provedor sip (voip)... hoje um dos clientes vpn... Vejam alguns exemplos: [**] [122:17:0] (portscan) UDP Portscan [**] 11/28-18:02:49.524224 64.80.70.13 - 192.168.102.2 PROTO255 TTL:0 TOS:0x0 ID:13177 IpLen:20 DgmLen:165 DF [**] [122:17:0] (portscan) UDP Portscan [**] 11/28-18:03:54.521450 64.80.70.13 - 192.168.102.2 PROTO255 TTL:0 TOS:0x0 ID:14911 IpLen:20 DgmLen:166 DF [**] [122:17:0] (portscan) UDP Portscan [**] 11/28-18:04:59.519218 64.80.70.13 - 192.168.102.2 PROTO255 TTL:0 TOS:0x0 ID:15682 IpLen:20 DgmLen:168 DF Não sei como o snort trabalha com detecção de portscan, pois meu bsd não fica exposto para a internet, antes passa por um roteador que só faz redirecionamento de algumas portas... Resumindo... se alguém souber como desativo detecção de portscan no snort.conf eu ficaria bastante agradecido. Obrigado pela atenção. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Snort do Ports com FLEXRESP
Algum usuario mais experiente com snort ai? Preciso de uma opiniao/dica. Instalei o snort pelo ports com flexresp e esta funcionando, fiz algumas regras customizadas, apliquei as res:rst_snd e rst_all e funciona como esperado. Agora a duvida. Tem como eu eleger um subconjunto de regras e definir um resp para todo o subconjunto (por exemplo, web-iis ou p2p) sem reescrever cada regra adicionando resp em seu corpo? Obrigado. -- === Eduardo Meyer pessoal: [EMAIL PROTECTED] profissional: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort
Ola Veja, IDS eh sempre bom ter, porem, eh algo meio complicado pra quem esta comecando, portante, as vezes pode mais atrapalhar que ajudar :) Quando ao webmail, eu gosto muito (e soh tenho usado) o openwebmail, que esta no ports, eh o antigo neomail. Excelente. Quanto ao postfix, na minha opniao mais uma vez heheh, eh a opcao mais viavel hj, principalmente pra quem se preocupa com usar somente software livres. Em 28/09/06, Hermann T. Ribeiro[EMAIL PROTECTED] escreveu: Senhores, continuando minha incursão (sou novato, mas disposto a aprender) na configuração de um servidor DNS (q está funcionando) e mail server, pergunto: Li algo sobre o IDS e uma das ferramentas utilizadas é o Snort; vcs sugerem um software assim para que eu possa rodar no meu servidor de DNS e Mail ? Outra coisa: vcs utilizam o postfix ? Na opinião dos senhores, qual o melhor (eu sei, cada um tem a sua preferência, mas sempre há um consenso) webmail para se trabalhar ? Abraços a todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] snort
em relação ao webmail eu ja utilizei o imp do HORDE é muito bom - Original Message - From: m3 BSD [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, September 28, 2006 10:17 AM Subject: Re: [FUG-BR] snort Ola Veja, IDS eh sempre bom ter, porem, eh algo meio complicado pra quem esta comecando, portante, as vezes pode mais atrapalhar que ajudar :) Quando ao webmail, eu gosto muito (e soh tenho usado) o openwebmail, que esta no ports, eh o antigo neomail. Excelente. Quanto ao postfix, na minha opniao mais uma vez heheh, eh a opcao mais viavel hj, principalmente pra quem se preocupa com usar somente software livres. Em 28/09/06, Hermann T. Ribeiro[EMAIL PROTECTED] escreveu: Senhores, continuando minha incursão (sou novato, mas disposto a aprender) na configuração de um servidor DNS (q está funcionando) e mail server, pergunto: Li algo sobre o IDS e uma das ferramentas utilizadas é o Snort; vcs sugerem um software assim para que eu possa rodar no meu servidor de DNS e Mail ? Outra coisa: vcs utilizam o postfix ? Na opinião dos senhores, qual o melhor (eu sei, cada um tem a sua preferência, mas sempre há um consenso) webmail para se trabalhar ? Abraços a todos. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Snort + MySQL + Base
Pessoal,
Tenho o seguinte cenário:
Snort 2.6.0
MySQL 5.0.22
Base 1.2.6
OSSEC v0.9
O Snort grava os logs no /var/log/snort/alert e no mysql... isso funciona
durante algumas horas (até dias), e depois o snort não consegue gravar mais
nada no mysql... segue o /var/log/messages
Sep 14 13:10:37 netserver snort[92774]: database: mysql_error: MySQL server
has gone away SQL=BEGIN
Sep 14 13:10:37 netserver snort[92774]: database: mysql_error: MySQL server
has gone away
Sep 14 13:10:37 netserver snort[92774]: database: mysql_error: MySQL server
has gone away SQL=INSERT INTO signature
(sig_name,sig_priority,sig_sid,sig_gid) VALUES ('(portscan) UDP
Portscan',3,17,122)
Sep 14 13:10:37 netserver snort[92774]: database: mysql_error: MySQL server
has gone away
Sep 14 13:10:37 netserver snort[92774]: database: Problem inserting a new
signature '(portscan) UDP Portscan': INSERT INTO signature
(sig_name,sig_priority,sig_sid,sig_gid) VALUES ('(portscan) UDP
Portscan',3,17,122)
Sep 14 13:10:37 netserver snort[92774]: database: mysql_error: MySQL server
has gone away SQL=INSERT INTO event (sid,cid,signature,timestamp) VALUES (1,
7056, 0, '2006-09-14 13:10:37')
Sep 14 13:10:37 netserver snort[92774]: database: mysql_error: MySQL server
has gone away SQL=ROLLBACK
Lembrando que o serviço do snort continua gravando os logs perfeitamente no
/var/log/snort/alert, e o serviço do mysql não caiu, pois consigo conectar
pelo admin e executar qualquer query.
Sugestões? onde encontro um log mais detalhado do erro? onde fica o log do
mysql?
Abraço,
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
[EMAIL PROTECTED]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Snort-Clamav
Olá All, Gostaria de saber se alguem já utiliza p snort em conjunto com o clamav com sucesso, todo o processo de compilação já esta ok, mais pelos testes que fiz ainda não consegui chegar ao objetivo de filtrar os pacotes, abaixo a syntax que estou usando: preprocessor clamav: ports all !22 !443, toclientonly, dbdir \ /var/db/clamav/, dbreload-time 43200, file-descriptor-mode O daemon do clamav esta ok, fiz testes com o eicar (virus test file) com vários formatos. Obrigado -- Rafael Floriano Sousa Sales Segurança da Informação Tompast IT Services e-mail: [EMAIL PROTECTED] +55-11-3207-2457 +55-11-8433-2281 ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
Boa noite. A principio ele esta rodando, e o ACID tbm, mas como testar para saber se realmente esta captando os log, pois no ACID esta sempre 0 alerts. []'s Em 13/12/05, Ricardo Campos Passanezi[EMAIL PROTECTED] escreveu: On Tue, Dec 13, 2005 at 02:05:59PM -0200, R. Filippus wrote: Criei o diretorio rules, e ele tirei o $RULE_path do snort.conf e foi blz. Obrigado pelas dicas :D Instalei o ACID, e fui tudo ok, mas como eu posso saber se ele realmente esta funcionando? ... Não uso o ACID, então o que posso te dizer é para consultar a documentação (http://www.andrew.cmu.edu/user/rdanyliw/snort/snortacid.html). -- Ricardo Campos Passanezi ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- Atenciosamente, R. Filippus ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
Boa tarde Marcio, tudo bom? Eu tentei com o nmap, mas nao apareceu nada, apenas umas menssagens no kernel, de RST response. Agora estou testando pela rede interna, que passa por um switch da D-Link(DGS1008-D) com um programinha chamado Attack Tool Kit, que checa varias vulnerabilidades, e finalmente apareceram os logs no BASE e no ACID. Acredito que agora apenas devo refinar minha configurações. Em 14/12/05, Márcio Luciano Donada[EMAIL PROTECTED] escreveu: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 R. Filippus wrote: Opa. Nossa, como estou indignado com esse snort. Já ate troquei o ACID pelo BASE, que a a continuação do projeto do ACID. Bom, vejo que os analizadores de log, sempre estão vazios, então comecei a vasculhar os logs, e no messages achei a seguinte linha: Dec 14 11:27:44 gateway snort[20521]: Log directory = /var/log/snort Mas esta setado o banco de dados Outputs cadastrados: output database: log, mysql, user=snort password=snort dbname=snort host=localhost output database: alert, mysql, user=snort password=snort dbname=snort host=localhost Boa Tarde, Ele sempre irá fazer isso, ele anexa todas as tentativas no alert do snort e de tempos em tempos (não sei bem ao certo qual é) ele armazena no MySQL. Tente realizar algumas conexões, ping (em massa) pra ele gerar alguns log's. Qualquer coisa, eu posso te passar o meu snort.conf que está funcionando legal com o ACID. []'s - -- Márcio Luciano Donada T.I. Aurora Alimentos - Chapecó(SC) Cooperativa Central Oeste Catarinense mdonada at auroraalimentos dot com dot br -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.6 (GNU/Linux) iD8DBQFDoDvDyJq2hZEymxcRArM8AJ0SfijeipKV7iwCi7Rli/HqwnaP5ACgn9Vj lxEaA4b9cEz2IfYeWT69qkw= =TE/r -END PGP SIGNATURE- ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- Atenciosamente, R. Filippus ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
Realmente o diretorio não existe. Criei o diretorio, mas ele fica dando erro que não consegue abrir os arquivos das rules(bad-traffic.rules, local.rules, bad-traffic.rules, ...) Se eu crio o arquivos não da erro, mas eles estao vazios!! Não deveriam vir junto com o snort esses arquivos? Em 12/12/05, Márcio Luciano Donada[EMAIL PROTECTED] escreveu: R. Filippus escreveu: Boa noite pessoal. Estou instalando o snort, no Free 5.4. Ja intalei o snort-2.4.3_1, o mysql-server-4.1.15, criei a base de dados no mysql e o usuarios. Ao tentar rodar, ele apresentou varios erros, que eram dos arquivos .sample, do qual renomei-os e os erros sumiram, mas agora observei que outros erros estao sendo apresentados, como por exemplo diz que falta o rules, mas nao achei nenhum diretorio com tal informação. Gostaria de uma ajuda para rodar o snort. Abaixo segue o log de erros que ele apresenta na tela. ERROR: Unable to open rules file: ./rules/local.rules or /usr/local/etc/snort/./rules/local.rules Fatal Error, Quitting.. gateway# Boa Noite, Parece que o diretorio das regras não foi encontrado. Certifique-se que ele está no endereço acima []'s Márcio ___ Yahoo! doce lar. Faça do Yahoo! sua homepage. http://br.yahoo.com/homepageset.html ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- Atenciosamente, R. Filippus ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
On Tue, Dec 13, 2005 at 08:06:14AM -0200, R. Filippus wrote: Realmente o diretorio não existe. Criei o diretorio, mas ele fica dando erro que não consegue abrir os arquivos das rules(bad-traffic.rules, local.rules, bad-traffic.rules, ...) Se eu crio o arquivos não da erro, mas eles estao vazios!! Não deveriam vir junto com o snort esses arquivos? Se você instalou do ports, os arquivos estão em /usr/local/share/snort Basta mudar o RULE_PATH: var RULE_PATH /usr/local/share/snort -- Ricardo Campos Passanezi ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
Boa tarde Ricardo, tudo bom? Em 13/12/05, Ricardo Campos Passanezi[EMAIL PROTECTED] escreveu: On Tue, Dec 13, 2005 at 08:06:14AM -0200, R. Filippus wrote: Realmente o diretorio não existe. Criei o diretorio, mas ele fica dando erro que não consegue abrir os arquivos das rules(bad-traffic.rules, local.rules, bad-traffic.rules, ...) Se eu crio o arquivos não da erro, mas eles estao vazios!! Não deveriam vir junto com o snort esses arquivos? Se você instalou do ports, os arquivos estão em /usr/local/share/snort No /usr/local/share/snort e em nenhum outro local ele salvou, então baixei direto do www.snort.org. Basta mudar o RULE_PATH: var RULE_PATH /usr/local/share/snort Criei o diretorio rules, e ele tirei o $RULE_path do snort.conf e foi blz. Obrigado pelas dicas :D Instalei o ACID, e fui tudo ok, mas como eu posso saber se ele realmente esta funcionando? Bom estou executando o nmap(nmap -sS -sV -P0 -O -v -p 80) contra os ips que estao nesse servidor, mas nada aparece no ACID. Como eu entao poderia testa-lo? []'s -- Ricardo Campos Passanezi ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- Atenciosamente, R. Filippus ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
On Tue, Dec 13, 2005 at 02:05:59PM -0200, R. Filippus wrote: Criei o diretorio rules, e ele tirei o $RULE_path do snort.conf e foi blz. Obrigado pelas dicas :D Instalei o ACID, e fui tudo ok, mas como eu posso saber se ele realmente esta funcionando? ... Não uso o ACID, então o que posso te dizer é para consultar a documentação (http://www.andrew.cmu.edu/user/rdanyliw/snort/snortacid.html). -- Ricardo Campos Passanezi ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] SNORT - erro ao executa-lo
Boa noite pessoal. Estou instalando o snort, no Free 5.4. Ja intalei o snort-2.4.3_1, o mysql-server-4.1.15, criei a base de dados no mysql e o usuarios. Ao tentar rodar, ele apresentou varios erros, que eram dos arquivos .sample, do qual renomei-os e os erros sumiram, mas agora observei que outros erros estao sendo apresentados, como por exemplo diz que falta o rules, mas nao achei nenhum diretorio com tal informação. Gostaria de uma ajuda para rodar o snort. Abaixo segue o log de erros que ele apresenta na tela. gateway# snort *** *** interface device lookup found: sis0 *** Running in IDS mode with inferred config file: /usr/local/etc/snort/snort.conf Initializing Network Interface sis0 --== Initializing Snort ==-- Initializing Output Plugins! Decoding Ethernet on interface sis0 Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file /usr/local/etc/snort/snort.conf +++ Initializing rule chains... ,---[Flow Config]-- | Stats Interval: 0 | Hash Method: 2 | Memcap: 10485760 | Rows : 4099 | Overhead Bytes: 16400(%0.16) `-- Frag3 global config: Max frags: 65536 Fragment memory cap: 4194304 bytes Frag3 global config: Max frags: 65536 Fragment memory cap: 4194304 bytes Frag3 engine config: Target-based policy: FIRST Fragment timeout: 60 seconds Fragment min_ttl: 1 Fragment ttl_limit: 5 Fragment Problems: 1 Bound Addresses: 0.0.0.0/0.0.0.0 Stream4 config: Stateful inspection: ACTIVE Session statistics: INACTIVE Session timeout: 30 seconds Session memory cap: 8388608 bytes Session count max: 8192 sessions Session cleanup count: 5 State alerts: INACTIVE Evasion alerts: INACTIVE Scan alerts: INACTIVE Log Flushed Streams: INACTIVE MinTTL: 1 TTL Limit: 5 Async Link: 0 State Protection: 0 Self preservation threshold: 50 Self preservation period: 90 Suspend threshold: 200 Suspend period: 30 Enforce TCP State: INACTIVE Midstream Drop Alerts: INACTIVE Server Data Inspection Limit: -1 WARNING /usr/local/etc/snort/snort.conf(373) = flush_behavior set in config file, using old static flushpoints (0) Stream4_reassemble config: Server reassembly: INACTIVE Client reassembly: ACTIVE Reassembler alerts: ACTIVE Zero out flushed packets: INACTIVE Flush stream on alert: INACTIVE flush_data_diff_size: 500 Reassembler Packet Preferance : Favor Old Packet Sequence Overlap Limit: -1 Flush behavior: Small (255 bytes) Ports: 21 23 25 42 53 80 110 111 135 136 137 139 143 445 513 1433 1521 3306 Emergency Ports: 21 23 25 42 53 80 110 111 135 136 137 139 143 445 513 1433 1521 3306 HttpInspect Config: GLOBAL CONFIG Max Pipeline Requests:0 Inspection Type: STATELESS Detect Proxy Usage: NO IIS Unicode Map Filename: /usr/local/etc/snort/unicode.map IIS Unicode Map Codepage: 1252 DEFAULT SERVER CONFIG: Ports: 80 8080 8180 Flow Depth: 300 Max Chunk Length: 50 Inspect Pipeline Requests: YES URI Discovery Strict Mode: NO Allow Proxy Usage: NO Disable Alerting: NO Oversize Dir Length: 500 Only inspect URI: NO Ascii: YES alert: NO Double Decoding: YES alert: YES %U Encoding: YES alert: YES Bare Byte: YES alert: YES Base36: OFF UTF 8: OFF IIS Unicode: YES alert: YES Multiple Slash: YES alert: NO IIS Backslash: YES alert: NO Directory Traversal: YES alert: NO Web Root Traversal: YES alert: YES Apache WhiteSpace: YES alert: NO IIS Delimiter: YES alert: NO IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG Non-RFC Compliant Characters: NONE rpc_decode arguments: Ports to decode RPC on: 111 32771 alert_fragments: INACTIVE alert_large_fragments: ACTIVE alert_incomplete: ACTIVE alert_multiple_requests: ACTIVE telnet_decode arguments: Ports to decode telnet on: 21 23 25 119 Portscan Detection Config: Detect Protocols: TCP UDP ICMP IP Detect Scan Type: portscan portsweep decoy_portscan distributed_portscan Sensitivity Level: Low Memcap (in bytes): 1000 Number of Nodes: 36900 X-Link2State Config: Ports: 25 691 database: compiled support for ( mysql ) database: configured to use mysql database: user = snort database: password is set database: database name = snort database: host = localhost database: sensor name = 192.168.100.253 database: sensor id = 1 database: schema version = 106 database: using the log facility ERROR: Unable to open rules file: ./rules/local.rules or /usr/local/etc/snort/./rules/local.rules Fatal Error, Quitting.. gateway# -- Atenciosamente, R. Filippus ___ Freebsd mailing list
Re: [FUG-BR] SNORT - erro ao executa-lo
R. Filippus escreveu: Boa noite pessoal. Estou instalando o snort, no Free 5.4. Ja intalei o snort-2.4.3_1, o mysql-server-4.1.15, criei a base de dados no mysql e o usuarios. Ao tentar rodar, ele apresentou varios erros, que eram dos arquivos .sample, do qual renomei-os e os erros sumiram, mas agora observei que outros erros estao sendo apresentados, como por exemplo diz que falta o rules, mas nao achei nenhum diretorio com tal informação. Gostaria de uma ajuda para rodar o snort. Abaixo segue o log de erros que ele apresenta na tela. ERROR: Unable to open rules file: ./rules/local.rules or /usr/local/etc/snort/./rules/local.rules Fatal Error, Quitting.. gateway# Boa Noite, Parece que o diretorio das regras não foi encontrado. Certifique-se que ele está no endereço acima []'s Márcio ___ Yahoo! doce lar. Faça do Yahoo! sua homepage. http://br.yahoo.com/homepageset.html ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] Snort - erros
Boa tarde. Instalei o Snort, e observei que pelo ports ele não cria o user/group snort, então criei na mão, mas como faço para que o executavel snort seja iniciado pelo usuario snort? Quando inicio o snort (/usr/local/etc/rc.d/snort.sh start), ocorre o erro no /var/log/messages: Feb 23 17:08:49 guaxinim snort: FATAL ERROR: /usr/local/etc/snort.conf(324) = Invalid keyword 'preprocessor' for server configuration. Bom, na linha 324 tinha: ( preprocessor rpc_decode: 111 32771 ), então comentei ela e iniciei o snort novamente, mas fica dando varios erros nas linha seguintes! O que ser feito, algum conf. esta errada? -- Atenciosamente, R. Filippus ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
