Pessoal,
Não encontrei na NET muitos exemplos de arquivos utilizando regras
para as portas 53 e 25 !! Em todos arquivos os exemplos mais comuns
são para a porta 80 !!
Alguém possui algum arquivo com exemplos de regras para essas portas
(53 , 25) ?
Onde posso conseguir ??
Valeuu
Respondi o outro e-mail antes de ler este ;)
--- Eriberto <eriberto1@...> escreveu:
> Resolvi dar uma olhada no site e a mensagem é de
> 2001. Nessa época, o
> Hogwash estava no início e tinha bugs. Pode ser
> isso.
>
> []s
>
>
> eduardortrindade escreveu:
>
> >Re: A guerra dos NIDS (Pontos: 0)
> >por Anonimo em Segunda, 20 de agosto de 2001 às
> 11:53:28 BRT
> >Rodei o Hogwash aqui na empresa e ele gerou um
> trafego imenso de
> >
> >
>
>
>
>
> Links do Yahoo! Grupos
>
>
>
> http://br.yahoo.com/info/utos.html
>
>
>
>
>
_______________________________________________________
Yahoo! Acesso Grátis - Internet rápida e grátis.
Instale o discador agora! http://br.acesso.yahoo.com/
Pô, mas essa dúvida é de 2001... ou ele não configurou
direito ou era uma versão anterior bugada...
--- Eriberto <eriberto1@...> escreveu:
> Uso Hogwash há mais de um ano. Certamente ele
> configurou errado ou não
> sabe o que está acontecendo.
>
> []s!
>
> Eriberto - www.eriberto.pro.br
>
> eduardortrindade escreveu:
>
> >Re: A guerra dos NIDS (Pontos: 0)
> >por Anonimo em Segunda, 20 de agosto de 2001 às
> 11:53:28 BRT
> >Rodei o Hogwash aqui na empresa e ele gerou um
> trafego imenso de
> >pacotes ARP, congestionando a rede inteira.
> >Eu nem sei porque ele faz isso.
> >Se alguem souber da uma dica.
> >
> >
> >link original:
> http://www.secforum.com.br/article.php?sid=116
> >
> >
> >
>
>
>
>
> Links do Yahoo! Grupos
>
>
>
> http://br.yahoo.com/info/utos.html
>
>
>
>
>
__________________________________________________
Converse com seus amigos em tempo real com o Yahoo! Messenger
http://br.download.yahoo.com/messenger/
Resolvi dar uma olhada no site e a mensagem é de 2001. Nessa época, o
Hogwash estava no início e tinha bugs. Pode ser isso.
[]s
eduardortrindade escreveu:
>Re: A guerra dos NIDS (Pontos: 0)
>por Anonimo em Segunda, 20 de agosto de 2001 às 11:53:28 BRT
>Rodei o Hogwash aqui na empresa e ele gerou um trafego imenso de
>
>
Uso Hogwash há mais de um ano. Certamente ele configurou errado ou não
sabe o que está acontecendo.
[]s!
Eriberto - www.eriberto.pro.br
eduardortrindade escreveu:
>Re: A guerra dos NIDS (Pontos: 0)
>por Anonimo em Segunda, 20 de agosto de 2001 às 11:53:28 BRT
>Rodei o Hogwash aqui na empresa e ele gerou um trafego imenso de
>pacotes ARP, congestionando a rede inteira.
>Eu nem sei porque ele faz isso.
>Se alguem souber da uma dica.
>
>
>link original: http://www.secforum.com.br/article.php?sid=116
>
>
>
Re: A guerra dos NIDS (Pontos: 0)
por Anonimo em Segunda, 20 de agosto de 2001 às 11:53:28 BRT
Rodei o Hogwash aqui na empresa e ele gerou um trafego imenso de
pacotes ARP, congestionando a rede inteira.
Eu nem sei porque ele faz isso.
Se alguem souber da uma dica.
link original: http://www.secforum.com.br/article.php?sid=116
Eu e o André Bertelli conseguimos no Debian. Você está usando Debian?
[]s
Eriberto - www.eriberto.pro.br
fabianocesesenac escreveu:
>Ola, gostaria de saber como configurar o hogwash com mysql.
>
>
>
Regras dinâmicas são ativadas a partir de outras regras, são
importantes para detectar atividades anômalas nas redes, por exemplor
se alguém tenta mapear as rotas do sistemas utilizando o comando
tracert.
O tracert envia um pacote com o campo ttl igual a 0, quando ele chega
no próximo ponto de rede este pacote é descartado e uma mensgem com
informações sobre o ponto onde foi descartado, posteriormente outro
pacote com TTL igual a 1 é enviado o processo se repete até alcançar o
host de destino.
As regras dinâmicas funcionariam para detectar e bloquear este tipo de
atividade, por exemplo
regra1 detecta o ttl do pacote, ativa regra dinamica 1
regra dinâmica 1 detecta o ttl do pacote e verifica se é igual ao ttl
do pacote anterior -1, ativa regra dinamica 2
regra dinâmica 2 se ttl do pacote é igual ao ttl da regra dinâmica 2
-1, então bloqueia pacote.
Esta técnica é eficiente para impedir o mapeamento de rotas na rede
executado por usuários não autorizados. Efetivamente mesmo não tendo
tal funcionalidade o Hogwash é uma excelente ferramenta e sua
aplicação é impressindível para estabelecer um bom nível de segurança.
Espero ter ajudado
Em 13/07/05, André Bertelli Araújo<andre@...> escreveu:
> --- Em hogwash-br@..., "Eduardo Trindade"
> <eduardotrindade@h...> escreveu
> >
> >
> > André,
> >
> > Sou iniciante ainda neste assunto, mas pela aula que tive, vc
> que tem q analisar sua rede e fazer as regras. Existem regras prontas,
> mas pode acusar muito falso positivo.
> > A melhor solução é vc analisar suas necessidades e criar as regras.
> >
> > Att,
> >
> > Eduardo Trindade.
>
> Isso é verdade, mas acho que não é isso que se chama de regras dinâmicas.
>
>
>
>
>
> Links do Yahoo! Grupos
>
>
>
>
>
>
>
>
--- Em hogwash-br@..., "Eduardo Trindade"
<eduardotrindade@h...> escreveu
>
>
> André,
>
> Sou iniciante ainda neste assunto, mas pela aula que tive, vc
que tem q analisar sua rede e fazer as regras. Existem regras prontas,
mas pode acusar muito falso positivo.
> A melhor solução é vc analisar suas necessidades e criar as regras.
>
> Att,
>
> Eduardo Trindade.
Isso é verdade, mas acho que não é isso que se chama de regras dinâmicas.
Sou iniciante ainda neste assunto, mas pela aula que tive, vc que tem q analisar sua rede e fazer as regras. Existem regras prontas, mas pode acusar muito falso positivo.
A melhor solução é vc analisar suas necessidades e criar as regras.
--- Em hogwash-br@..., Ricardo Fontana <fontanaricardo@g...> escreveu > O hogwash possui suporte a regras dinamicas? > Ou seja, regras que são ativadas dinamicamente? > > Grato por qualquer ajuda... > Flw...
--- Em hogwash-br@..., Ricardo Fontana
<fontanaricardo@g...> escreveu
> O hogwash possui suporte a regras dinamicas?
> Ou seja, regras que são ativadas dinamicamente?
>
> Grato por qualquer ajuda...
> Flw...
Infelizmente não.
Tem como configurar uma action para logar em um banco mysql (nunca
testei). Tem um exemplo no arquivo stock.config :
response=alert
mysql(user=hogwash,dbase=hogwash5,host=localhost,port=3306,pass=passwor
d,logpackets=1)
On earth date Mon, 06 Jun 2005 17:01:29 -0000
the carbon unit named "fabianocesesenac" <dougfunny@...>
wrote:
> Ola, gostaria de saber como configurar o hogwash com mysql.
>
> Obrigado.
>
> Fabiano
>
--
André Bertelli Araújo Linux User #248583
http://bertelli.endofinternet.net Debian GNU/Linux
____________________________________________________
Yahoo! Mail, cada vez melhor: agora com 1GB de espaço grátis!
http://mail.yahoo.com.br
Caro colega Eriberto, sim, eu estou usando a conf padrão. as regras que eu estou usando são as
default mesmo, a do nimda entre outras que vem como padrão.
Saiu o Debian Sarge Stable.
E agora?
Todos os usuários de Debian que desejarem manter os seus Debians como
stable (estável) deverão editar o arquivo /etc/apt/sources.list e
alterar as entradas "testing" por "stable". Quem não o fizer, estará
utilizando o Etch (que é a nova versão testing). Depois disso, execute:
# apt-get update
Resolvi postar esse procedimento aqui porque o manual do HogWash,
disponível em www.eriberto.pro.br, está baseado em Debian.
[]s
Eriberto - www.eriberto.pro.br
A seguir, encontra-se a mensagem oficial de lançamento que circulou na
lista Debian Announce:
------------------------------------------------------------------------
The Debian Project http://www.debian.org/
Debian GNU/Linux 3.1 released press@...
June 6th, 2005 http://www.debian.org/News/2005/20050606
------------------------------------------------------------------------
Debian GNU/Linux 3.1 released
The Debian Project is pleased to announce the official release of Debian
GNU/Linux version 3.1 codenamed ``sarge'' after nearly three years of
constant development. Debian GNU/Linux is a free operating system which
supports a total of eleven processor architectures, includes KDE, GNOME
and GNUstep desktop environments, features cryptographic software, is
compatible with the FHS v2.3, and supports software developed for the LSB.
With the development of the new debian-installer, this release features
a new, modular and sophisticated installation routine with integrated
hardware detection and unattended installation capabilities. The
installation is available in about thirty languages and includes
configuration of the X server for many graphic cards.
The task selection system has been revamped and made more flexible. The
debconf tool has been integrated into most packages that need to be
configured and makes this easier and more user friendly. Debian
GNU/Linux can be installed from various installation media such as DVDs,
CDs, USB sticks, a few floppies, or from the network. It can be
downloaded now, and will soon be available on DVD and CD-ROM from
numerous vendors <http://www.debian.org/CD/vendors/>.
Debian GNU/Linux runs on computers ranging from palmtops and handheld
systems to supercomputers, and on nearly everything in between. A total
of eleven architectures are supported, including Motorola 68k (m68k), Sun
SPARC (sparc), HP Alpha (alpha), Motorola/IBM PowerPC (powerpc), Intel
IA-32 (i386) and IA-64 (ia64), HP PA-RISC (hppa), MIPS (mips, mipsel),
ARM (arm) and IBM S/390 (s390).
This release includes a number of up-to-date large software packages,
such as the K Desktop Environment 3.3 (KDE), the GNOME desktop
environment 2.8, the GNUstep desktop, XFree86 4.3.0, GIMP 2.2.6,
Mozilla 1.7.8, Galeon 1.3.20, Mozilla Thunderbird 1.0.2, Firefox 1.0.4,
PostgreSQL 7.4.7, MySQL 4.0.24 and 4.1.11a, GNU Compiler Collection 3.3.5
(GCC), Linux kernel versions 2.4.27 and 2.6.8, Apache 1.3.33 and 2.0.54,
Samba 3.0.14, Python 2.3.5 and 2.4.1, Perl 5.8.4 and much more.
This is the first Debian release that includes OpenOffice.org (1.1.3).
It also features cryptographic software integrated in the main
distribution. OpenSSH and GNU Privacy Guard are included in the default
installation, and strong encryption is present in web browsers, web
servers, databases, and many other applications available in this
release.
Debian GNU/Linux 3.1 includes the efforts of the Debian-Edu/Skolelinux,
Debian-Med and Debian-Accessibility sub-projects which boosted the number
of educational packages and those with a medical affiliation as well as
packages designed especially for people with disabilities.
Upgrades to Debian GNU/Linux 3.1 from the previous release Debian
GNU/Linux 3.0 codenamed ``woody'' are automatically handled by the
aptitude package management tool, and to a certain degree also by the
apt-get package management tool. As always, Debian GNU/Linux systems can
be upgraded painlessly, in place, without any forced downtime. For
detailed instructions about installing and upgrading Debian GNU/Linux,
please see the release notes
<http://www.debian.org/releases/sarge/releasenotes>.
About Debian
------------
Debian GNU/Linux is a free operating system, developed by more than
thousand volunteers from all over the world who collaborate via the
Internet. Debian's dedication to Free Software, its non-profit nature,
and its open development model make it unique among GNU/Linux
distributions.
The Debian project's key strengths are its volunteer base, its dedication
to the Debian Social Contract, and its commitment to provide the best
operating system possible. Debian 3.1 is another important step in that
direction.
Contact Information
-------------------
For further information, please visit the Debian web pages at
<http://www.debian.org/> or send mail to <press@...>.</p>
Você está usando a ação default? Como está configurada? (veja dentro de
/etc/hogwash/stock.config). Envie também uma das regras para eu ver.
[]s
Eriberto - www.eriberto.cjb.net
dougfunny@... wrote:
> Ola Eriberto, muito obrigado pelas respostas rapidas, porem ainda
> estou com uma duvida, o comando hogwash ....... -l "/var/log" & vai
> legal, ele cria o arquivo no dir de logs porem nao registra nd.
Ola Eriberto, muito obrigado pelas respostas rapidas, porem ainda estou com uma duvida, o
comando hogwash ....... -l "/var/log" & vai legal, ele cria o arquivo no dir de
logs porem nao registra nd.
É mais ou menos isso. Você pode observar o tráfego do Skype com um
ethereal na máquina HogWash e tentar descobrir uma seqüência de dados
peculiar a ele. Depois, basta bloquear a passagem de tal seqüência.
[]s
Eriberto - www.eriberto.pro.br
mson77a wrote:
>Usei as regras iptables... sem sucesso. O Skype passa liso! Ou seja...
>eu somente conseguiria bloquear o Skype se eu pudesse analisar o
>conteudo do pacote que flui usando a porta 443 ou 80.
>
>Dai... lendo sobre Hogwash... percebi que existe essa possibilidade...
>(talvez)...
>
>É isso mesmo? Seria possivel bloquear Skype?
>
>
Fabiano,
Há um erro no manual. Eu detectei momentos antes de embarcar para Porto
Alegre para participar do FISL6 e não consegui postar na lista.
Basicamente, utilize:
# hogwash -c stock.config -r stock.rules -l /var/log &
Estava faltando o "-l /var/log". Com isso, os logs serão gerados em
/var/log.
[]s
Eriberto - www.eriberto.pro.br
fabianocesesenac wrote:
>Ola, apos instalar e configurar o hogwash ele nao esta gerando logs,
>o que poderia ser?
>
>
Olá,
Não precisa do brctl instalado. O próprio HogWash estabelece a bridge. E
tem que ser assim, para que ele mesmo possa controlar toda a passagem de
tráfego.
[]s
Eriberto - www.eriberto.pro.br
fabianocesesenac wrote:
>ola, gostaria de saber se o hogwash usa algo relacionado com o
>comando brctl.
>
>
Gostaria de saber se é possivel bloquear SKYPE usando Hogwash.
Dos levantamentos que eu fiz para conhecer como o Skype funciona... esse se conecta usando portas TCP abaixo de 1024... e ainda... usa as portas 443 e 80.
Inicialmente ele tenta não usar essas portas (443/80), mas qdo o firewall bloqueia tudo... ele escapa pela porta 443 e depois na 80... na forma de 'streamming'.
Usei as regras iptables... sem sucesso. O Skype passa liso! Ou seja... eu somente conseguiria bloquear o Skype se eu pudesse analisar o conteudo do pacote que flui usando a porta 443 ou 80.
Dai... lendo sobre Hogwash... percebi que existe essa possibilidade... (talvez)...
Ola,
Gostaria de saber se é possivel bloquear SKYPE usando Hogwash.
Dos levantamentos que eu fiz para conhecer como o Skype funciona...
esse se conecta usando portas TCP abaixo de 1024... e ainda... usa as
portas 443 e 80.
Inicialmente ele tenta não usar essas portas (443/80), mas qdo o
firewall bloqueia tudo... ele escapa pela porta 443 e depois na 80...
na forma de 'streamming'.
Usei as regras iptables... sem sucesso. O Skype passa liso! Ou seja...
eu somente conseguiria bloquear o Skype se eu pudesse analisar o
conteudo do pacote que flui usando a porta 443 ou 80.
Dai... lendo sobre Hogwash... percebi que existe essa possibilidade...
(talvez)...
É isso mesmo? Seria possivel bloquear Skype?
Obrigado,
mson77
No momento o hogwash não detecta comportamentos estranhos, ele só checa
por assinaturas. Na página do projeto tem uma previsão de incluir
detecção heurística na versão 0.7.
Mas pode-se importar regras do Snort; nem todas as opções podem ser
importadas, mas funciona.
On earth date Tue, 24 May 2005 20:08:11 -0300 (ART)
the carbon unit named paulo guedes <ad_frater@...> wrote:
> Obrigado pela explicação!
> Eriberto, o hogwash trabalha com algo parecido com plug-in,
> isto é, do tipo biblioteca de ataques conhecidos, que seja
> possível ser atualizada. A analise que ele faz é apenas analisando
> o conteúdo dos pacotes ou ele também detecta comportamentos
> estranhos na rede?
>
> Eriberto <eriberto1@...> escreveu:
> Olá,
>
> O Snort puro é um IDS. Funciona como um sensor, apenas detectando as
> tentativas de intrusão. Já o Hogwash é um IPS. Ele não só detecta como
>
> trata o tráfego anômalo. Além disso, o Snort é implementado na camada
> 3. Se colocado in-line, será facilmente detectado por um atacante. Já
> o HogWash está implementado na camada 2. Com isso, ele fica invisível
> aos olhos de um atacante. Além disso, com a nova tecnologia H2, você
> mesmo consegue fazer regras para filtrar o tráfego. Eu uso HogWash há
> um ano e não tenho dúvidas: vale a pena usá-lo.
>
> Será que deu para ter uma idéia?
>
> []s
>
> Eriberto - www.eriberto.pro.br
>
>
> ad_frater escreveu:
>
> > Olá Eriberto!
> >
> >Atualmente não trabalho com nenhum tipo de IDS porém estou
> >pesquisando qual a melhor opção para investir meu tempo,até
> >o momento o que eu tinha em vista erá o SNORT, você poderia
> >fazer um comparativo entre o snort e o hogwash?!
> >
> >
> >
>
> Yahoo! Grupos, um serviço oferecido por:PUBLICIDADE
>
>
> ---------------------------------
> Links do Yahoo! Grupos
>
> Para visitar o site do seu grupo na web, acesse:
> http://br.groups.yahoo.com/group/hogwash-br/
>
> Para sair deste grupo, envie um e-mail para:
> hogwash-br-unsubscribe@...
>
> O uso que você faz do Yahoo! Grupos está sujeito aos Termos do
> Serviço do Yahoo!.
>
>
>
> __________________________________________________
> Converse com seus amigos em tempo real com o Yahoo! Messenger
> http://br.download.yahoo.com/messenger/
--
André Bertelli Araújo Linux User #248583
http://bertelli.endofinternet.net Debian GNU/Linux
Eriberto, o hogwash trabalha com algo parecido com plug-in,
isto é, do tipo biblioteca de ataques conhecidos, que seja
possível ser atualizada. A analise que ele faz é apenas analisando
o conteúdo dos pacotes ou ele também detecta comportamentos
estranhos na rede?
Eriberto <eriberto1@...> escreveu:
Olá,
O Snort puro é um IDS. Funciona como um sensor, apenas detectando as tentativas de intrusão. Já o Hogwash é um IPS. Ele não só detecta como trata o tráfego anômalo. Além disso, o Snort é implementado na camada 3. Se colocado in-line, será facilmente detectado por um atacante. Já o HogWash está implementado na camada 2. Com isso, ele fica invisível aos olhos de um atacante. Além disso, com a nova tecnologia H2, você mesmo consegue fazer regras para filtrar o tráfego. Eu uso HogWash há um ano e não tenho dúvidas: vale a pena usá-lo.
Será que deu para ter uma idéia?
[]s
Eriberto - www.eriberto.pro.br
ad_frater escreveu:
> Olá Eriberto! > >Atualmente não trabalho com nenhum tipo de IDS porém estou >pesquisando qual a melhor opção para investir meu tempo,até >o momento o que eu
tinha em vista erá o SNORT, você poderia >fazer um comparativo entre o snort e o hogwash?! > > >
__________________________________________________ Converse com seus amigos em tempo real com o Yahoo! Messenger http://br.download.yahoo.com/messenger/
Olá,
O Snort puro é um IDS. Funciona como um sensor, apenas detectando as
tentativas de intrusão. Já o Hogwash é um IPS. Ele não só detecta como
trata o tráfego anômalo. Além disso, o Snort é implementado na camada 3.
Se colocado in-line, será facilmente detectado por um atacante. Já o
HogWash está implementado na camada 2. Com isso, ele fica invisível aos
olhos de um atacante. Além disso, com a nova tecnologia H2, você mesmo
consegue fazer regras para filtrar o tráfego. Eu uso HogWash há um ano e
não tenho dúvidas: vale a pena usá-lo.
Será que deu para ter uma idéia?
[]s
Eriberto - www.eriberto.pro.br
ad_frater escreveu:
> Olá Eriberto!
>
>Atualmente não trabalho com nenhum tipo de IDS porém estou
>pesquisando qual a melhor opção para investir meu tempo,até
>o momento o que eu tinha em vista erá o SNORT, você poderia
>fazer um comparativo entre o snort e o hogwash?!
>
>
>
Olá Eriberto!
Atualmente não trabalho com nenhum tipo de IDS porém estou
pesquisando qual a melhor opção para investir meu tempo,até
o momento o que eu tinha em vista erá o SNORT, você poderia
fazer um comparativo entre o snort e o hogwash?!
Esta lista está sendo criada para tentar disseminar o IPS HogWash no Brasil.
O HogWash é muito eficiente. Está em produção na minha rede há cerca de
um ano. Por favor, baixe o tutorial que desenvolvi. Ele está em
http://www.eriberto.pro.br/hogwash.
Vamos discutir sobre HogWash! Tragam as suas dúvidas e experiências.
[]s
Eriberto - www.eriberto.pro.br
Offline 
Enviar e-mail