hlbr : Mensagens : 654-683 de 959

Pessoal,

Vou instalar agora o HLBR e gostaria de saber se existe algum problema em compartilhar com outro software, como o Cacti.

Outra dúvida é, já que ele trabalha na camada 2, não há problema de espelhar no switch a porta do meu roteador gateway com a porta desse servidor, certo ? Ele vai capturar todos os pacotes né ?

Abs.,

Hugo

#655

De: "Marcio Antunes" <mantunes.listas@...>
Data: Ter, 12 de Fev de 2008 6:04 pm
Assunto: Re: Instalação do HLBR

mantunes.listas@...

vc não tem como instalar o cacti pq p hlbr é em modo bridge e não tem
ip na rede. essa é a função. unica forma de acesso é via console.

#656

De: "Rodrigo Castilhos" <castilhosr@...>
Data: Ter, 12 de Fev de 2008 6:25 pm
Assunto: Re: Instalação do HLBR

isampbr

Quando eu fiz testes com o HLBR, usei console serial, acessivel de meu
host com Iptables via minicom.



Em 12/02/08, Marcio Antunes<mantunes.listas@...> escreveu:
> vc não tem como instalar o cacti pq p hlbr é em modo bridge e não tem
> ip na rede. essa é a função. unica forma de acesso é via console.
>
>
> ---------------------------------------------------------------------
> Esta lista não admite a abordagem de outros assuntos que não estejam ligados
ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio
aviso.
> ---------------------------------------------------------------------
> Sair da lista: hlbr-unsubscribe@...
> ---------------------------------------------------------------------
> Esta lista é moderada de acordo com o previsto em
http://www.listas-discussao.cjb.net
> ---------------------------------------------------------------------
> Servidor Newsgroup da lista: news.gmane.org
> Grupo: gmane.comp.security.ids.hlbr
> ---------------------------------------------------------------------
> HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377
> ---------------------------------------------------------------------
>
>
>
> Links do Yahoo! Grupos
>
>
>

#657

De: "pedroarthur.jedi" <pedro.forum@...>
Data: Qua, 13 de Fev de 2008 9:41 pm
Assunto: Re: Instalação do HLBR

pedroarthur....

--- Em hlbr@..., "Hugo Rebello" <hugo.rebello@...>
> Vou instalar agora o HLBR e gostaria de saber se existe
> algum problema em compartilhar com outro software, como o Cacti.

Você pode utilizar uma interface de gerenciamento para isso. No caso
você teria as interfaces que participam da bridge e uma interface
adicional para administraçãp.

> Outra dúvida é, já que ele trabalha na camada 2, não há problema
> de espelhar no switch a porta do meu roteador gateway com a
> porta desse servidor, certo? Ele vai capturar todos os pacotes né ?

Se eu entendi direito, você pretende conectar o HLBR a um switch e
espelhar as outras portas para ele. é isso? Se for, esse não é o uso
correto do HLBR. O HLBR é um Sistema de Prevenção de Intrusão (SPI).
SPI's são elementos ativos na rede: analisam pacotes e tomam decisões
acerca do mesmo. Então, eles devem estar entre os elementos de rede
que se deseja protejer. Ex:

| Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor |

Acho que o que você pretende implementar é um Sistema de Detecção de
Prevenção, tal como Snort. Eles sim devem ser posicionados de forma
paralela com a rede de forma a somente analisar os pacotes e emitirem
alertas mas, de nenhuma forma, tem a capacidade de deter um ataque (o
hlbr tem).

#658

De: "Marcos Aurelio Rodrigues" <deigratia33@...>
Data: Qui, 14 de Fev de 2008 12:38 am
Assunto: Re: Re: Instalação do HLBR

marsamp

Acredito que se voce utilizar o HLBR em uma porta espelhada ele podera enxergar o trafego, isso sera util pra voce verificar os possiveis falso positivos que poderao ser causados pelo seu ambiente de producao, porque obviamente a partir de uma porta espelhada voce perde a funcionalidade de prevencao, pois ele nao ira bloquear e nem redirecionar nada.

Porem "portas" direcionadas para uma porta espelho, a nao ser que voce tenha mais de um link voce esta posicionando o IPS no lugar errado.

Como o Pedro disse, lembre-se:

Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor |

Se voce esta querendo usar ele dentro da sua rede, acredito que o que voce procure seja um ids (recomendo snort)

Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor | <==> | SNORT | <==> | Rede Local |

obs. Aproveitando o "fluxograma" do Pedro.

--
========================================
Marcos Aurelio Rodrigues (DEiGrAtiA-33)
<deigratia33@...>
CCNA, MCSO
Mirabilia laudo semprer, Dei
========================================

2008/2/13 pedroarthur.jedi <pedro.forum@...>:

--- Em hlbr@..., "Hugo Rebello" <hugo.rebello@...>

> Vou instalar agora o HLBR e gostaria de saber se existe
> algum problema em compartilhar com outro software, como o Cacti.

Você pode utilizar uma interface de gerenciamento para isso. No caso
você teria as interfaces que participam da bridge e uma interface
adicional para administraçãp.

> Outra dúvida é, já que ele trabalha na camada 2, não há problema
> de espelhar no switch a porta do meu roteador gateway com a
> porta desse servidor, certo? Ele vai capturar todos os pacotes né ?

Se eu entendi direito, você pretende conectar o HLBR a um switch e
espelhar as outras portas para ele. é isso? Se for, esse não é o uso
correto do HLBR. O HLBR é um Sistema de Prevenção de Intrusão (SPI).
SPI's são elementos ativos na rede: analisam pacotes e tomam decisões
acerca do mesmo. Então, eles devem estar entre os elementos de rede
que se deseja protejer. Ex:

| Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor |

Acho que o que você pretende implementar é um Sistema de Detecção de
Prevenção, tal como Snort. Eles sim devem ser posicionados de forma
paralela com a rede de forma a somente analisar os pacotes e emitirem
alertas mas, de nenhuma forma, tem a capacidade de deter um ataque (o
hlbr tem).

#659

De: "Hugo Rebello" <hugo.rebello@...>
Data: Qui, 14 de Fev de 2008 12:19 pm
Assunto: Re: Re: Instalação do HLBR

takarebello

Pedro,

Deixa eu explicar porque eu falei sobre o espelhamento de portas.

Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele é responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de URL(não como um proxy)

Ele analisa e bloqueia todo o tráfego direcionado para o meu gateway, mas não trabalha como bridge, considero bridge como um ponto de falha que deve ser descartado em um BCP, a não ser que ele se torne um dispositivo da camada 2 caso aconteça algum problema com o software gerenciador, então não existirá impacto.

A porta do switch conectado no RTGuardian é o "destination" no espelhamento de portas, e a porta do switch conectado no roteador gateway é o "source" desse mesmo espelhamento. Com isso todo o tráfego de spyware, P2P e IM é bloqueado antes de alcançar a Internet.

Abs.,

Hugo

Em 13/02/08, pedroarthur.jedi <pedro.forum@...> escreveu:

--- Em hlbr@..., "Hugo Rebello" <hugo.rebello@...>
> Vou instalar agora o HLBR e gostaria de saber se existe
> algum problema em compartilhar com outro software, como o Cacti.

Você pode utilizar uma interface de gerenciamento para isso. No caso
você teria as interfaces que participam da bridge e uma interface
adicional para administraçãp.

> Outra dúvida é, já que ele trabalha na camada 2, não há problema
> de espelhar no switch a porta do meu roteador gateway com a
> porta desse servidor, certo? Ele vai capturar todos os pacotes né ?

Se eu entendi direito, você pretende conectar o HLBR a um switch e
espelhar as outras portas para ele. é isso? Se for, esse não é o uso
correto do HLBR. O HLBR é um Sistema de Prevenção de Intrusão (SPI).
SPI's são elementos ativos na rede: analisam pacotes e tomam decisões
acerca do mesmo. Então, eles devem estar entre os elementos de rede
que se deseja protejer. Ex:

| Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor |

Acho que o que você pretende implementar é um Sistema de Detecção de
Prevenção, tal como Snort. Eles sim devem ser posicionados de forma
paralela com a rede de forma a somente analisar os pacotes e emitirem
alertas mas, de nenhuma forma, tem a capacidade de deter um ataque (o
hlbr tem).

#660

De: mantunes <mantunes.listas@...>
Data: Qui, 14 de Fev de 2008 4:29 pm
Assunto: Re: Re: Instalação do HLBR

mantunes.listas@...

Não entendi sua colocação em dizer "considero bridge como um ponto de falha que deve ser descartado em um BCP"

Onde está a falha ?? tem como explicar ??

Em 14/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

Pedro,

Deixa eu explicar porque eu falei sobre o espelhamento de portas.

Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele é responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de URL(não como um proxy)

Ele analisa e bloqueia todo o tráfego direcionado para o meu gateway, mas não trabalha como bridge, considero bridge como um ponto de falha que deve ser descartado em um BCP, a não ser que ele se torne um dispositivo da camada 2 caso aconteça algum problema com o software gerenciador, então não existirá impacto.

A porta do switch conectado no RTGuardian é o "destination" no espelhamento de portas, e a porta do switch conectado no roteador gateway é o "source" desse mesmo espelhamento. Com isso todo o tráfego de spyware, P2P e IM é bloqueado antes de alcançar a Internet.

Abs.,

Hugo

Em 13/02/08, pedroarthur.jedi <pedro.forum@...> escreveu:

--- Em hlbr@..., "Hugo Rebello" <hugo.rebello@...>
> Vou instalar agora o HLBR e gostaria de saber se existe
> algum problema em compartilhar com outro software, como o Cacti.

Você pode utilizar uma interface de gerenciamento para isso. No caso
você teria as interfaces que participam da bridge e uma interface
adicional para administraçãp.

> Outra dúvida é, já que ele trabalha na camada 2, não há problema
> de espelhar no switch a porta do meu roteador gateway com a
> porta desse servidor, certo? Ele vai capturar todos os pacotes né ?

Se eu entendi direito, você pretende conectar o HLBR a um switch e
espelhar as outras portas para ele. é isso? Se for, esse não é o uso
correto do HLBR. O HLBR é um Sistema de Prevenção de Intrusão (SPI).
SPI's são elementos ativos na rede: analisam pacotes e tomam decisões
acerca do mesmo. Então, eles devem estar entre os elementos de rede
que se deseja protejer. Ex:

| Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor |

Acho que o que você pretende implementar é um Sistema de Detecção de
Prevenção, tal como Snort. Eles sim devem ser posicionados de forma
paralela com a rede de forma a somente analisar os pacotes e emitirem
alertas mas, de nenhuma forma, tem a capacidade de deter um ataque (o
hlbr tem).

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

#661

De: "Hugo Rebello" <hugo.rebello@...>
Data: Sex, 15 de Fev de 2008 12:07 pm
Assunto: Re: Re: Instalação do HLBR

takarebello

A falha está em deixar a comunicação externa indisponível, no meu caso aqui na empresa, deixar o acesso aos sistemas Internacionais fora do ar caso a máquina com a bridge configurada saia do ar, seja desligada ou perca a configuração da bridge.

Esse é um ponto de falha apontado pela auditoria. Existem alguns appliances que trabalham como IPS que não possuem essa falha, caso aconteça algum problema com o software ele virá um dispositivo que trabalha na camada 2 e a comunicação com o gateway não para.

Em 14/02/08, mantunes <mantunes.listas@...> escreveu:

Não entendi sua colocação em dizer "considero bridge como um ponto de falha que deve ser descartado em um BCP"

Onde está a falha ?? tem como explicar ??

Em 14/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

Pedro,

Deixa eu explicar porque eu falei sobre o espelhamento de portas.

Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele é responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de URL(não como um proxy)

Ele analisa e bloqueia todo o tráfego direcionado para o meu gateway, mas não trabalha como bridge, considero bridge como um ponto de falha que deve ser descartado em um BCP, a não ser que ele se torne um dispositivo da camada 2 caso aconteça algum problema com o software gerenciador, então não existirá impacto.

A porta do switch conectado no RTGuardian é o "destination" no espelhamento de portas, e a porta do switch conectado no roteador gateway é o "source" desse mesmo espelhamento. Com isso todo o tráfego de spyware, P2P e IM é bloqueado antes de alcançar a Internet.

Abs.,

Hugo

Em 13/02/08, pedroarthur.jedi <pedro.forum@...> escreveu:

--- Em hlbr@..., "Hugo Rebello" <hugo.rebello@...>
> Vou instalar agora o HLBR e gostaria de saber se existe
> algum problema em compartilhar com outro software, como o Cacti.

Você pode utilizar uma interface de gerenciamento para isso. No caso
você teria as interfaces que participam da bridge e uma interface
adicional para administraçãp.

> Outra dúvida é, já que ele trabalha na camada 2, não há problema
> de espelhar no switch a porta do meu roteador gateway com a
> porta desse servidor, certo? Ele vai capturar todos os pacotes né ?

Se eu entendi direito, você pretende conectar o HLBR a um switch e
espelhar as outras portas para ele. é isso? Se for, esse não é o uso
correto do HLBR. O HLBR é um Sistema de Prevenção de Intrusão (SPI).
SPI's são elementos ativos na rede: analisam pacotes e tomam decisões
acerca do mesmo. Então, eles devem estar entre os elementos de rede
que se deseja protejer. Ex:

| Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor |

Acho que o que você pretende implementar é um Sistema de Detecção de
Prevenção, tal como Snort. Eles sim devem ser posicionados de forma
paralela com a rede de forma a somente analisar os pacotes e emitirem
alertas mas, de nenhuma forma, tem a capacidade de deter um ataque (o
hlbr tem).

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

#662

De: mantunes <mantunes.listas@...>
Data: Sex, 15 de Fev de 2008 12:22 pm
Assunto: Re: Re: Instalação do HLBR

mantunes.listas@...

Acontece que appliances tambem é hadware e se falhar.. ?? não vai
ficar indisponivel ?? applicances é um S.O com uma mascara somente.
Se vc colocar um maquina robusta e de marca, certamente não terá
problemas por vários e vários anos.. agora colocar uma maquina usada
e ainda montada.. é certamente é melhor comprar comprimidos para dor de
cabeça, de preferência Doflex.

Tenho experiência com alguns e certamente trocaria por uma maquina e um
bom sistema operacional de preferência BSD. Para mim appliances é para administradores que não gosta de ter trabalho e alem do mais limita muito a minha capacidade de pensar. Creio que
a sua auditoria é um desses..

Em 15/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

A falha está em deixar a comunicação externa indisponível, no meu caso aqui na empresa, deixar o acesso aos sistemas Internacionais fora do ar caso a máquina com a bridge configurada saia do ar, seja desligada ou perca a configuração da bridge.

Esse é um ponto de falha apontado pela auditoria. Existem alguns appliances que trabalham como IPS que não possuem essa falha, caso aconteça algum problema com o software ele virá um dispositivo que trabalha na camada 2 e a comunicação com o gateway não para.

Em 14/02/08, mantunes <mantunes.listas@...> escreveu:

Não entendi sua colocação em dizer "considero bridge como um ponto de falha que deve ser descartado em um BCP"

Onde está a falha ?? tem como explicar ??

Em 14/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

Pedro,

Deixa eu explicar porque eu falei sobre o espelhamento de portas.

Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele é responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de URL(não como um proxy)

Ele analisa e bloqueia todo o tráfego direcionado para o meu gateway, mas não trabalha como bridge, considero bridge como um ponto de falha que deve ser descartado em um BCP, a não ser que ele se torne um dispositivo da camada 2 caso aconteça algum problema com o software gerenciador, então não existirá impacto.

A porta do switch conectado no RTGuardian é o "destination" no espelhamento de portas, e a porta do switch conectado no roteador gateway é o "source" desse mesmo espelhamento. Com isso todo o tráfego de spyware, P2P e IM é bloqueado antes de alcançar a Internet.

Abs.,

Hugo

Em 13/02/08, pedroarthur.jedi <pedro.forum@...> escreveu:

--- Em hlbr@..., "Hugo Rebello" <hugo.rebello@...>
> Vou instalar agora o HLBR e gostaria de saber se existe
> algum problema em compartilhar com outro software, como o Cacti.

Você pode utilizar uma interface de gerenciamento para isso. No caso
você teria as interfaces que participam da bridge e uma interface
adicional para administraçãp.

> Outra dúvida é, já que ele trabalha na camada 2, não há problema
> de espelhar no switch a porta do meu roteador gateway com a
> porta desse servidor, certo? Ele vai capturar todos os pacotes né ?

Se eu entendi direito, você pretende conectar o HLBR a um switch e
espelhar as outras portas para ele. é isso? Se for, esse não é o uso
correto do HLBR. O HLBR é um Sistema de Prevenção de Intrusão (SPI).
SPI's são elementos ativos na rede: analisam pacotes e tomam decisões
acerca do mesmo. Então, eles devem estar entre os elementos de rede
que se deseja protejer. Ex:

| Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor |

Acho que o que você pretende implementar é um Sistema de Detecção de
Prevenção, tal como Snort. Eles sim devem ser posicionados de forma
paralela com a rede de forma a somente analisar os pacotes e emitirem
alertas mas, de nenhuma forma, tem a capacidade de deter um ataque (o
hlbr tem).

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

#663

De: "Marcos Aurelio Rodrigues" <deigratia33@...>
Data: Sex, 15 de Fev de 2008 12:59 pm
Assunto: Re: Re: Instalação do HLBR

marsamp

Cara, que tipo de appliance voce esta falando?

Acho que no minimo voce esta sendo bem radical, e tudo questao de analisar a necessidade, voce quer comparar uma maquina com SO convencional a um appliance? Entao voce poderia fazer um SO rodar a mesma capacidade de um Appliance como temos alguns do mercado (Por exemplo a da empresa que faz aquele software do porquinho), talvez poderia..mas a que custo seria isso?.

Limitar a capacidade de pensar. Acho que ser radical, faz agente limitar a nossa capacidade de pensamento.

Voce seria capaz de rodar um snort a 10gbps? Com a mesma capacidade do appliance da empresa do porquinho?

Desculpe o "Jaba" e citar o snort na lista, mas acho que veio ao caso como um exemplo.

--
========================================
Marcos Aurelio Rodrigues (DEiGrAtiA-33)
<deigratia33@...>
CCNA, MCSO
Mirabilia laudo semprer, Dei
========================================

2008/2/15 mantunes <mantunes.listas@...>:

Acontece que appliances tambem é hadware e se falhar.. ?? não vai
ficar indisponivel ?? applicances é um S.O com uma mascara somente.
Se vc colocar um maquina robusta e de marca, certamente não terá
problemas por vários e vários anos.. agora colocar uma maquina usada
e ainda montada.. é certamente é melhor comprar comprimidos para dor de
cabeça, de preferência Doflex.

Tenho experiência com alguns e certamente trocaria por uma maquina e um
bom sistema operacional de preferência BSD. Para mim appliances é para administradores que não gosta de ter trabalho e alem do mais limita muito a minha capacidade de pensar. Creio que
a sua auditoria é um desses..

Em 15/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

A falha está em deixar a comunicação externa indisponível, no meu caso aqui na empresa, deixar o acesso aos sistemas Internacionais fora do ar caso a máquina com a bridge configurada saia do ar, seja desligada ou perca a configuração da bridge.

Esse é um ponto de falha apontado pela auditoria. Existem alguns appliances que trabalham como IPS que não possuem essa falha, caso aconteça algum problema com o software ele virá um dispositivo que trabalha na camada 2 e a comunicação com o gateway não para.

Em 14/02/08, mantunes <mantunes.listas@...> escreveu:

Não entendi sua colocação em dizer "considero bridge como um ponto de falha que deve ser descartado em um BCP"

Onde está a falha ?? tem como explicar ??

Em 14/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

Pedro,

Deixa eu explicar porque eu falei sobre o espelhamento de portas.

Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele é responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de URL(não como um proxy)

Ele analisa e bloqueia todo o tráfego direcionado para o meu gateway, mas não trabalha como bridge, considero bridge como um ponto de falha que deve ser descartado em um BCP, a não ser que ele se torne um dispositivo da camada 2 caso aconteça algum problema com o software gerenciador, então não existirá impacto.

A porta do switch conectado no RTGuardian é o "destination" no espelhamento de portas, e a porta do switch conectado no roteador gateway é o "source" desse mesmo espelhamento. Com isso todo o tráfego de spyware, P2P e IM é bloqueado antes de alcançar a Internet.

Abs.,

Hugo

Em 13/02/08, pedroarthur.jedi <pedro.forum@...> escreveu:

--- Em hlbr@..., "Hugo Rebello" <hugo.rebello@...>
> Vou instalar agora o HLBR e gostaria de saber se existe
> algum problema em compartilhar com outro software, como o Cacti.

Você pode utilizar uma interface de gerenciamento para isso. No caso
você teria as interfaces que participam da bridge e uma interface
adicional para administraçãp.

> Outra dúvida é, já que ele trabalha na camada 2, não há problema
> de espelhar no switch a porta do meu roteador gateway com a
> porta desse servidor, certo? Ele vai capturar todos os pacotes né ?

Se eu entendi direito, você pretende conectar o HLBR a um switch e
espelhar as outras portas para ele. é isso? Se for, esse não é o uso
correto do HLBR. O HLBR é um Sistema de Prevenção de Intrusão (SPI).
SPI's são elementos ativos na rede: analisam pacotes e tomam decisões
acerca do mesmo. Então, eles devem estar entre os elementos de rede
que se deseja protejer. Ex:

| Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor |

Acho que o que você pretende implementar é um Sistema de Detecção de
Prevenção, tal como Snort. Eles sim devem ser posicionados de forma
paralela com a rede de forma a somente analisar os pacotes e emitirem
alertas mas, de nenhuma forma, tem a capacidade de deter um ataque (o
hlbr tem).

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

#664

De: mantunes <mantunes.listas@...>
Data: Sex, 15 de Fev de 2008 2:14 pm
Assunto: Re: Re: Instalação do HLBR

mantunes.listas@...

Vc participa da lista [snort-br], então não irei comentar sobre quando vc
fala em rodar o snort em um link 10gbps. La terá as respostas.

Até a cisco irá colocar o seu IOS baseado em FreeBSD, o que faz
um applicance ser melhor do que uma S.O que ele próprio ?

Sinceramente não vejo significado. Há não ser falta de mão de obra especializada.
Como já vi em diversas empresas e orgaos federais.

Esse é o meu ponto de vista, saliento que não sou nada contra, porém acho
que os applicance limita a capacidade de trabalho, não posso implementar nada
até que eles faça as modificações quase sempre cobrando muito caro.

Em 15/02/08, Marcos Aurelio Rodrigues <deigratia33@...> escreveu:

Cara, que tipo de appliance voce esta falando?

Acho que no minimo voce esta sendo bem radical, e tudo questao de analisar a necessidade, voce quer comparar uma maquina com SO convencional a um appliance? Entao voce poderia fazer um SO rodar a mesma capacidade de um Appliance como temos alguns do mercado (Por exemplo a da empresa que faz aquele software do porquinho), talvez poderia..mas a que custo seria isso?.

Limitar a capacidade de pensar. Acho que ser radical, faz agente limitar a nossa capacidade de pensamento.

Voce seria capaz de rodar um snort a 10gbps? Com a mesma capacidade do appliance da empresa do porquinho?

Desculpe o "Jaba" e citar o snort na lista, mas acho que veio ao caso como um exemplo.

--
========================================
Marcos Aurelio Rodrigues (DEiGrAtiA-33)
<deigratia33@...>
CCNA, MCSO
Mirabilia laudo semprer, Dei
========================================

2008/2/15 mantunes <mantunes.listas@...>:

Acontece que appliances tambem é hadware e se falhar.. ?? não vai
ficar indisponivel ?? applicances é um S.O com uma mascara somente.
Se vc colocar um maquina robusta e de marca, certamente não terá
problemas por vários e vários anos.. agora colocar uma maquina usada
e ainda montada.. é certamente é melhor comprar comprimidos para dor de
cabeça, de preferência Doflex.

Tenho experiência com alguns e certamente trocaria por uma maquina e um
bom sistema operacional de preferência BSD. Para mim appliances é para administradores que não gosta de ter trabalho e alem do mais limita muito a minha capacidade de pensar. Creio que
a sua auditoria é um desses..

Em 15/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

A falha está em deixar a comunicação externa indisponível, no meu caso aqui na empresa, deixar o acesso aos sistemas Internacionais fora do ar caso a máquina com a bridge configurada saia do ar, seja desligada ou perca a configuração da bridge.

Esse é um ponto de falha apontado pela auditoria. Existem alguns appliances que trabalham como IPS que não possuem essa falha, caso aconteça algum problema com o software ele virá um dispositivo que trabalha na camada 2 e a comunicação com o gateway não para.

Em 14/02/08, mantunes <mantunes.listas@...> escreveu:

Não entendi sua colocação em dizer "considero bridge como um ponto de falha que deve ser descartado em um BCP"

Onde está a falha ?? tem como explicar ??

Em 14/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

Pedro,

Deixa eu explicar porque eu falei sobre o espelhamento de portas.

Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele é responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de URL(não como um proxy)

Ele analisa e bloqueia todo o tráfego direcionado para o meu gateway, mas não trabalha como bridge, considero bridge como um ponto de falha que deve ser descartado em um BCP, a não ser que ele se torne um dispositivo da camada 2 caso aconteça algum problema com o software gerenciador, então não existirá impacto.

A porta do switch conectado no RTGuardian é o "destination" no espelhamento de portas, e a porta do switch conectado no roteador gateway é o "source" desse mesmo espelhamento. Com isso todo o tráfego de spyware, P2P e IM é bloqueado antes de alcançar a Internet.

Abs.,

Hugo

Em 13/02/08, pedroarthur.jedi <pedro.forum@...> escreveu:

--- Em hlbr@..., "Hugo Rebello" <hugo.rebello@...>
> Vou instalar agora o HLBR e gostaria de saber se existe
> algum problema em compartilhar com outro software, como o Cacti.

Você pode utilizar uma interface de gerenciamento para isso. No caso
você teria as interfaces que participam da bridge e uma interface
adicional para administraçãp.

> Outra dúvida é, já que ele trabalha na camada 2, não há problema
> de espelhar no switch a porta do meu roteador gateway com a
> porta desse servidor, certo? Ele vai capturar todos os pacotes né ?

Se eu entendi direito, você pretende conectar o HLBR a um switch e
espelhar as outras portas para ele. é isso? Se for, esse não é o uso
correto do HLBR. O HLBR é um Sistema de Prevenção de Intrusão (SPI).
SPI's são elementos ativos na rede: analisam pacotes e tomam decisões
acerca do mesmo. Então, eles devem estar entre os elementos de rede
que se deseja protejer. Ex:

| Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor |

Acho que o que você pretende implementar é um Sistema de Detecção de
Prevenção, tal como Snort. Eles sim devem ser posicionados de forma
paralela com a rede de forma a somente analisar os pacotes e emitirem
alertas mas, de nenhuma forma, tem a capacidade de deter um ataque (o
hlbr tem).

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

#665

De: "Marcos Aurelio Rodrigues" <deigratia33@...>
Data: Sex, 15 de Fev de 2008 3:14 pm
Assunto: Re: Re: Instalação do HLBR

marsamp

Marcio, pelo menos em meu ponto de vista a utilzacao de ferramentas vai de acordo com a necessidade, eu jamais irei associar que so porque a ferramenta e uma "caixa fechada" o profissional que a utiliza nao tem capacidade. Um appliance leva diversas caracteristicas especificas, que fazem melhorar o seu desempenho, principalmente no que dita a parte de hardware.

Entrei aqui na lista de discussao do HLBR, nao porque acho o melhor software (IPS) do planeta, mas porque achei o software interessante, bem util e aposto que ao mesmo tempo que atende a necessidade de muita gente, tambem pode nao atender a necessidade de outros, um bom profissional e aquele que sabe adequar as necessidades do cliente, seja implantando um FreeBSD ou implantando um appliance que custou "alguns dolares".

E so um ponto de vista, nao irei mais responder aos email desta thread pois o foco HLBR ja se perdeu.
Mas Marcio, qualquer coisa pode me adicionar no Google Talk, terei o maior prazer de conversar contigo e continuar o debate amistosamente.

--
========================================
Marcos Aurelio Rodrigues (DEiGrAtiA-33)
<deigratia33@...>
CCNA, MCSO
Mirabilia laudo semprer, Dei
========================================

2008/2/15 mantunes <mantunes.listas@...>:

Vc participa da lista [snort-br], então não irei comentar sobre quando vc
fala em rodar o snort em um link 10gbps. La terá as respostas.

Até a cisco irá colocar o seu IOS baseado em FreeBSD, o que faz
um applicance ser melhor do que uma S.O que ele próprio ?

Sinceramente não vejo significado. Há não ser falta de mão de obra especializada.
Como já vi em diversas empresas e orgaos federais.

Esse é o meu ponto de vista, saliento que não sou nada contra, porém acho
que os applicance limita a capacidade de trabalho, não posso implementar nada
até que eles faça as modificações quase sempre cobrando muito caro.

Em 15/02/08, Marcos Aurelio Rodrigues <deigratia33@...> escreveu:

Cara, que tipo de appliance voce esta falando?

Acho que no minimo voce esta sendo bem radical, e tudo questao de analisar a necessidade, voce quer comparar uma maquina com SO convencional a um appliance? Entao voce poderia fazer um SO rodar a mesma capacidade de um Appliance como temos alguns do mercado (Por exemplo a da empresa que faz aquele software do porquinho), talvez poderia..mas a que custo seria isso?.

Limitar a capacidade de pensar. Acho que ser radical, faz agente limitar a nossa capacidade de pensamento.

Voce seria capaz de rodar um snort a 10gbps? Com a mesma capacidade do appliance da empresa do porquinho?

Desculpe o "Jaba" e citar o snort na lista, mas acho que veio ao caso como um exemplo.

--
========================================
Marcos Aurelio Rodrigues (DEiGrAtiA-33)
<deigratia33@...>
CCNA, MCSO
Mirabilia laudo semprer, Dei
========================================

2008/2/15 mantunes <mantunes.listas@...>:

Acontece que appliances tambem é hadware e se falhar.. ?? não vai
ficar indisponivel ?? applicances é um S.O com uma mascara somente.
Se vc colocar um maquina robusta e de marca, certamente não terá
problemas por vários e vários anos.. agora colocar uma maquina usada
e ainda montada.. é certamente é melhor comprar comprimidos para dor de
cabeça, de preferência Doflex.

Tenho experiência com alguns e certamente trocaria por uma maquina e um
bom sistema operacional de preferência BSD. Para mim appliances é para administradores que não gosta de ter trabalho e alem do mais limita muito a minha capacidade de pensar. Creio que
a sua auditoria é um desses..

Em 15/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

A falha está em deixar a comunicação externa indisponível, no meu caso aqui na empresa, deixar o acesso aos sistemas Internacionais fora do ar caso a máquina com a bridge configurada saia do ar, seja desligada ou perca a configuração da bridge.

Esse é um ponto de falha apontado pela auditoria. Existem alguns appliances que trabalham como IPS que não possuem essa falha, caso aconteça algum problema com o software ele virá um dispositivo que trabalha na camada 2 e a comunicação com o gateway não para.

Em 14/02/08, mantunes <mantunes.listas@...> escreveu:

Não entendi sua colocação em dizer "considero bridge como um ponto de falha que deve ser descartado em um BCP"

Onde está a falha ?? tem como explicar ??

Em 14/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

Pedro,

Deixa eu explicar porque eu falei sobre o espelhamento de portas.

Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele é responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de URL(não como um proxy)

Ele analisa e bloqueia todo o tráfego direcionado para o meu gateway, mas não trabalha como bridge, considero bridge como um ponto de falha que deve ser descartado em um BCP, a não ser que ele se torne um dispositivo da camada 2 caso aconteça algum problema com o software gerenciador, então não existirá impacto.

A porta do switch conectado no RTGuardian é o "destination" no espelhamento de portas, e a porta do switch conectado no roteador gateway é o "source" desse mesmo espelhamento. Com isso todo o tráfego de spyware, P2P e IM é bloqueado antes de alcançar a Internet.

Abs.,

Hugo

Em 13/02/08, pedroarthur.jedi <pedro.forum@...> escreveu:

--- Em hlbr@..., "Hugo Rebello" <hugo.rebello@...>
> Vou instalar agora o HLBR e gostaria de saber se existe
> algum problema em compartilhar com outro software, como o Cacti.

Você pode utilizar uma interface de gerenciamento para isso. No caso
você teria as interfaces que participam da bridge e uma interface
adicional para administraçãp.

> Outra dúvida é, já que ele trabalha na camada 2, não há problema
> de espelhar no switch a porta do meu roteador gateway com a
> porta desse servidor, certo? Ele vai capturar todos os pacotes né ?

Se eu entendi direito, você pretende conectar o HLBR a um switch e
espelhar as outras portas para ele. é isso? Se for, esse não é o uso
correto do HLBR. O HLBR é um Sistema de Prevenção de Intrusão (SPI).
SPI's são elementos ativos na rede: analisam pacotes e tomam decisões
acerca do mesmo. Então, eles devem estar entre os elementos de rede
que se deseja protejer. Ex:

| Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor |

Acho que o que você pretende implementar é um Sistema de Detecção de
Prevenção, tal como Snort. Eles sim devem ser posicionados de forma
paralela com a rede de forma a somente analisar os pacotes e emitirem
alertas mas, de nenhuma forma, tem a capacidade de deter um ataque (o
hlbr tem).

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

#666

De: "Hugo Rebello" <hugo.rebello@...>
Data: Sex, 15 de Fev de 2008 3:41 pm
Assunto: Re: Re: Instalação do HLBR

takarebello

Trabalho com Linux e BSD a 10 anos e a 6 anos como Security Officer, conheço muito bem esses sistemas operacionais.

Com certeza tem vários appliances como um dá própria CheckPoint que não tem a capacidade de "chavear" o equipamento para trabalhar como um dispositivo da camada 2 caso o IDS/IPS pare de funcionar.

Em nenhum momento disse que o problema seria do HLBR, pelo contrário a minha intenção é coloca-lo no ar e saber dos colegas se alguém já teve esse tipo de problema.

Caso contrário colocarei o HLBR separando somente a rede dos meus servidores, com isso o acesso aos sistemas internacionais não serão afetados caso o IPS pare.

Obrigado.

Em 15/02/08, mantunes <mantunes.listas@...> escreveu:

Acontece que appliances tambem é hadware e se falhar.. ?? não vai
ficar indisponivel ?? applicances é um S.O com uma mascara somente.
Se vc colocar um maquina robusta e de marca, certamente não terá
problemas por vários e vários anos.. agora colocar uma maquina usada
e ainda montada.. é certamente é melhor comprar comprimidos para dor de
cabeça, de preferência Doflex.

Tenho experiência com alguns e certamente trocaria por uma maquina e um
bom sistema operacional de preferência BSD. Para mim appliances é para administradores que não gosta de ter trabalho e alem do mais limita muito a minha capacidade de pensar. Creio que
a sua auditoria é um desses..

Em 15/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

A falha está em deixar a comunicação externa indisponível, no meu caso aqui na empresa, deixar o acesso aos sistemas Internacionais fora do ar caso a máquina com a bridge configurada saia do ar, seja desligada ou perca a configuração da bridge.

Esse é um ponto de falha apontado pela auditoria. Existem alguns appliances que trabalham como IPS que não possuem essa falha, caso aconteça algum problema com o software ele virá um dispositivo que trabalha na camada 2 e a comunicação com o gateway não para.

Em 14/02/08, mantunes <mantunes.listas@...> escreveu:

Não entendi sua colocação em dizer "considero bridge como um ponto de falha que deve ser descartado em um BCP"

Onde está a falha ?? tem como explicar ??

Em 14/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

Pedro,

Deixa eu explicar porque eu falei sobre o espelhamento de portas.

Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele é responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de URL(não como um proxy)

Ele analisa e bloqueia todo o tráfego direcionado para o meu gateway, mas não trabalha como bridge, considero bridge como um ponto de falha que deve ser descartado em um BCP, a não ser que ele se torne um dispositivo da camada 2 caso aconteça algum problema com o software gerenciador, então não existirá impacto.

A porta do switch conectado no RTGuardian é o "destination" no espelhamento de portas, e a porta do switch conectado no roteador gateway é o "source" desse mesmo espelhamento. Com isso todo o tráfego de spyware, P2P e IM é bloqueado antes de alcançar a Internet.

Abs.,

Hugo

Em 13/02/08, pedroarthur.jedi <pedro.forum@...> escreveu:

--- Em hlbr@..., "Hugo Rebello" <hugo.rebello@...>
> Vou instalar agora o HLBR e gostaria de saber se existe
> algum problema em compartilhar com outro software, como o Cacti.

Você pode utilizar uma interface de gerenciamento para isso. No caso
você teria as interfaces que participam da bridge e uma interface
adicional para administraçãp.

> Outra dúvida é, já que ele trabalha na camada 2, não há problema
> de espelhar no switch a porta do meu roteador gateway com a
> porta desse servidor, certo? Ele vai capturar todos os pacotes né ?

Se eu entendi direito, você pretende conectar o HLBR a um switch e
espelhar as outras portas para ele. é isso? Se for, esse não é o uso
correto do HLBR. O HLBR é um Sistema de Prevenção de Intrusão (SPI).
SPI's são elementos ativos na rede: analisam pacotes e tomam decisões
acerca do mesmo. Então, eles devem estar entre os elementos de rede
que se deseja protejer. Ex:

| Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor |

Acho que o que você pretende implementar é um Sistema de Detecção de
Prevenção, tal como Snort. Eles sim devem ser posicionados de forma
paralela com a rede de forma a somente analisar os pacotes e emitirem
alertas mas, de nenhuma forma, tem a capacidade de deter um ataque (o
hlbr tem).

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

#667

De: mantunes <mantunes.listas@...>
Data: Sex, 15 de Fev de 2008 4:26 pm
Assunto: Re: Re: Instalação do HLBR

mantunes.listas@...

Veja bem Hugo e Marcos, não quero gerar polêmicas e também nao quero
dizer que HLBR é mil maravilhas. Não vou dizer que não uso applicances até pq ja trabalhei e trabalho com alguns só que eu vejo a limitação deles. Apenas perguntei os motivos de não usar uma maquina com um IPS/IDS.

Exemplo: Tem alguns (não vou citar os nomes) que usa o kernel 2.4.x do linux, o balanceamento de 2 links só pode ser feito em uma determinada versão do kernel, se tiver uma superior não pode, outros usam o novo kernel 2.6 e nem sinal da correção sobre as vunerabilidades que foram descobertas recentemente
Se fosse um S.O.. ja teria aplicado sem nenhum problema.

Em 15/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

Trabalho com Linux e BSD a 10 anos e a 6 anos como Security Officer, conheço muito bem esses sistemas operacionais.

Com certeza tem vários appliances como um dá própria CheckPoint que não tem a capacidade de "chavear" o equipamento para trabalhar como um dispositivo da camada 2 caso o IDS/IPS pare de funcionar.

Em nenhum momento disse que o problema seria do HLBR, pelo contrário a minha intenção é coloca-lo no ar e saber dos colegas se alguém já teve esse tipo de problema.

Caso contrário colocarei o HLBR separando somente a rede dos meus servidores, com isso o acesso aos sistemas internacionais não serão afetados caso o IPS pare.

Obrigado.

Em 15/02/08, mantunes <mantunes.listas@...> escreveu:

Acontece que appliances tambem é hadware e se falhar.. ?? não vai
ficar indisponivel ?? applicances é um S.O com uma mascara somente.
Se vc colocar um maquina robusta e de marca, certamente não terá
problemas por vários e vários anos.. agora colocar uma maquina usada
e ainda montada.. é certamente é melhor comprar comprimidos para dor de
cabeça, de preferência Doflex.

Tenho experiência com alguns e certamente trocaria por uma maquina e um
bom sistema operacional de preferência BSD. Para mim appliances é para administradores que não gosta de ter trabalho e alem do mais limita muito a minha capacidade de pensar. Creio que
a sua auditoria é um desses..

Em 15/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

A falha está em deixar a comunicação externa indisponível, no meu caso aqui na empresa, deixar o acesso aos sistemas Internacionais fora do ar caso a máquina com a bridge configurada saia do ar, seja desligada ou perca a configuração da bridge.

Esse é um ponto de falha apontado pela auditoria. Existem alguns appliances que trabalham como IPS que não possuem essa falha, caso aconteça algum problema com o software ele virá um dispositivo que trabalha na camada 2 e a comunicação com o gateway não para.

Em 14/02/08, mantunes <mantunes.listas@...> escreveu:

Não entendi sua colocação em dizer "considero bridge como um ponto de falha que deve ser descartado em um BCP"

Onde está a falha ?? tem como explicar ??

Em 14/02/08, Hugo Rebello <hugo.rebello@...> escreveu:

Pedro,

Deixa eu explicar porque eu falei sobre o espelhamento de portas.

Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele é responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de URL(não como um proxy)

Ele analisa e bloqueia todo o tráfego direcionado para o meu gateway, mas não trabalha como bridge, considero bridge como um ponto de falha que deve ser descartado em um BCP, a não ser que ele se torne um dispositivo da camada 2 caso aconteça algum problema com o software gerenciador, então não existirá impacto.

A porta do switch conectado no RTGuardian é o "destination" no espelhamento de portas, e a porta do switch conectado no roteador gateway é o "source" desse mesmo espelhamento. Com isso todo o tráfego de spyware, P2P e IM é bloqueado antes de alcançar a Internet.

Abs.,

Hugo

Em 13/02/08, pedroarthur.jedi <pedro.forum@...> escreveu:

--- Em hlbr@..., "Hugo Rebello" <hugo.rebello@...>
> Vou instalar agora o HLBR e gostaria de saber se existe
> algum problema em compartilhar com outro software, como o Cacti.

Você pode utilizar uma interface de gerenciamento para isso. No caso
você teria as interfaces que participam da bridge e uma interface
adicional para administraçãp.

> Outra dúvida é, já que ele trabalha na camada 2, não há problema
> de espelhar no switch a porta do meu roteador gateway com a
> porta desse servidor, certo? Ele vai capturar todos os pacotes né ?

Se eu entendi direito, você pretende conectar o HLBR a um switch e
espelhar as outras portas para ele. é isso? Se for, esse não é o uso
correto do HLBR. O HLBR é um Sistema de Prevenção de Intrusão (SPI).
SPI's são elementos ativos na rede: analisam pacotes e tomam decisões
acerca do mesmo. Então, eles devem estar entre os elementos de rede
que se deseja protejer. Ex:

| Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor |

Acho que o que você pretende implementar é um Sistema de Detecção de
Prevenção, tal como Snort. Eles sim devem ser posicionados de forma
paralela com a rede de forma a somente analisar os pacotes e emitirem
alertas mas, de nenhuma forma, tem a capacidade de deter um ataque (o
hlbr tem).

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"

#668

De: Pb João Laudir Teixeira <jlaudirt@...>
Data: Sex, 15 de Fev de 2008 2:13 pm
Assunto: UNSUBSCRIBE-ME

jlaudirt

PEÇO, POR MEIO DESTE, A RETIRADA DE MEU EMAIL DESTA LISTA. OBRIGADO!

Responder | Mensagens neste tópico (3)

#669

De: mantunes <mantunes.listas@...>
Data: Sex, 15 de Fev de 2008 5:29 pm
Assunto: Re: UNSUBSCRIBE-ME

mantunes.listas@...

se vc ler o rodapé de cada mensagem saberia cancelar.

Sair da lista: hlbr-unsubscribe@...

Em 15/02/08, Pb João Laudir Teixeira <jlaudirt@...> escreveu:

PEÇO, POR MEIO DESTE, A RETIRADA DE MEU EMAIL DESTA LISTA. OBRIGADO!

Responder | Mensagens neste tópico (3)

#670

De: Pb João Laudir Teixeira <jlaudirt@...>
Data: Sex, 15 de Fev de 2008 5:07 pm
Assunto: Re: UNSUBSCRIBE-ME

jlaudirt

PERDOEM-ME

Responder | Mensagens neste tópico (3)

#671

De: "André Bertelli Araújo" <bertelli.andre@...>
Data: Seg, 18 de Fev de 2008 12:31 pm
Assunto: Re: Re: Instalação do HLBR

Caro Hugo,

Realmente um computador "normal" rodando o HLBR pode ser considerado
um ponto de falha, mas mesmo assim há formas de se minimizar o risco.

Por exemplo: pode-se colocar uma segunda máquina em paralelo com a
primeira, conectada nas mesmas redes que a máquina HLBR está conectada
(acho que é inevitável usar um switch em cada "lado" aqui). A segunda
máquina está com o HLBR instalado mas o mesmo está fora do ar; então
um script na segunda máquina iria monitorar um "heartbeat" na primeira
(cabo serial?) e iniciar o serviço quando constatar que a máquina com
o HLBR deixou de responder.

É claro que tudo isto são mecanismos extras para garantir a
continuidade do serviço, e que o HLBR em si não provê estas
capacidades.

Uma outra sugestão que me deram uma vez, mas que nunca testei (nem sei
se é possível), seria usar uma placa de rede de duas ou mais saídas
(como as chamadas quad-ports) na máquina com HLBR e que possa ser
configurada de modo a, dado um evento específico, passar a fazer
bridge entre suas portas.

2008/2/14 Hugo Rebello <hugo.rebello@...>:
> Pedro,
>
> Deixa eu explicar porque eu falei sobre o espelhamento de portas.
>
> Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele é
> responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de URL(não
> como um proxy)
>
> Ele analisa e bloqueia todo o tráfego direcionado para o meu gateway, mas
> não trabalha como bridge, considero bridge como um ponto de falha que deve
> ser descartado em um BCP, a não ser que ele se torne um dispositivo da
> camada 2 caso aconteça algum problema com o software gerenciador, então não
> existirá impacto.
>
> A porta do switch conectado no RTGuardian é o "destination" no espelhamento
> de portas, e a porta do switch conectado no roteador gateway é o "source"
> desse mesmo espelhamento. Com isso todo o tráfego de spyware, P2P e IM é
> bloqueado antes de alcançar a Internet.
>
> Abs.,
> Hugo


--
.o.    André Bertelli Araújo       Debian GNU/Linux
..o    http://bertelli.name
ooo    <><

#672

De: "Hugo Rebello" <hugo.rebello@...>
Data: Seg, 18 de Fev de 2008 6:11 pm
Assunto: Re: Re: Instalação do HLBR

takarebello

Obrigado André.

Muito interessante a solução da placa de rede.

O cluster também é uma boa idéia, mas a placa de rede parece mais interessante, principalmente por causa do investimento.

Abs.,

Hugo

Em 18/02/08, André Bertelli Araújo <bertelli.andre@...> escreveu:

Caro Hugo,

Realmente um computador "normal" rodando o HLBR pode ser considerado
um ponto de falha, mas mesmo assim há formas de se minimizar o risco.

Por exemplo: pode-se colocar uma segunda máquina em paralelo com a
primeira, conectada nas mesmas redes que a máquina HLBR está conectada
(acho que é inevitável usar um switch em cada "lado" aqui). A segunda
máquina está com o HLBR instalado mas o mesmo está fora do ar; então
um script na segunda máquina iria monitorar um "heartbeat" na primeira
(cabo serial?) e iniciar o serviço quando constatar que a máquina com
o HLBR deixou de responder.

É claro que tudo isto são mecanismos extras para garantir a
continuidade do serviço, e que o HLBR em si não provê estas
capacidades.

Uma outra sugestão que me deram uma vez, mas que nunca testei (nem sei
se é possível), seria usar uma placa de rede de duas ou mais saídas
(como as chamadas quad-ports) na máquina com HLBR e que possa ser
configurada de modo a, dado um evento específico, passar a fazer
bridge entre suas portas.

2008/2/14 Hugo Rebello <hugo.rebello@...>:
> Pedro,
>
> Deixa eu explicar porque eu falei sobre o espelhamento de portas.
>
> Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele é
> responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de URL(não
> como um proxy)
>
> Ele analisa e bloqueia todo o tráfego direcionado para o meu gateway, mas
> não trabalha como bridge, considero bridge como um ponto de falha que deve
> ser descartado em um BCP, a não ser que ele se torne um dispositivo da
> camada 2 caso aconteça algum problema com o software gerenciador, então não
> existirá impacto.
>
> A porta do switch conectado no RTGuardian é o "destination" no espelhamento
> de portas, e a porta do switch conectado no roteador gateway é o "source"
> desse mesmo espelhamento. Com isso todo o tráfego de spyware, P2P e IM é
> bloqueado antes de alcançar a Internet.
>
> Abs.,
> Hugo

--
.o. André Bertelli Araújo Debian GNU/Linux
..o http://bertelli.name
ooo <><

#673

De: "André Bertelli Araújo" <bertelli.andre@...>
Data: Seg, 18 de Fev de 2008 7:34 pm
Assunto: Re: Re: Instalação do HLBR

2008/2/18 Hugo Rebello <hugo.rebello@...>:
> Obrigado André.
>
> Muito interessante a solução da placa de rede.
> O cluster também é uma boa idéia, mas a placa de rede parece mais
> interessante, principalmente por causa do investimento.

Se é que funciona; se alguém testar, por favor mande o relato da experiência.

> Abs.,
> Hugo
>
> Em 18/02/08, André Bertelli Araújo <bertelli.andre@...> escreveu:
>
> >
> >
> >
> >
> >
> >
> > Caro Hugo,
> >
> > Realmente um computador "normal" rodando o HLBR pode ser considerado
> > um ponto de falha, mas mesmo assim há formas de se minimizar o risco.
> >
> > Por exemplo: pode-se colocar uma segunda máquina em paralelo com a
> > primeira, conectada nas mesmas redes que a máquina HLBR está conectada
> > (acho que é inevitável usar um switch em cada "lado" aqui). A segunda
> > máquina está com o HLBR instalado mas o mesmo está fora do ar; então
> > um script na segunda máquina iria monitorar um "heartbeat" na primeira
> > (cabo serial?) e iniciar o serviço quando constatar que a máquina com
> > o HLBR deixou de responder.
> >
> > É claro que tudo isto são mecanismos extras para garantir a
> > continuidade do serviço, e que o HLBR em si não provê estas
> > capacidades.
> >
> > Uma outra sugestão que me deram uma vez, mas que nunca testei (nem sei
> > se é possível), seria usar uma placa de rede de duas ou mais saídas
> > (como as chamadas quad-ports) na máquina com HLBR e que possa ser
> > configurada de modo a, dado um evento específico, passar a fazer
> > bridge entre suas portas.
> >
> > 2008/2/14 Hugo Rebello <hugo.rebello@...>:
> > > Pedro,
> > >
> > > Deixa eu explicar porque eu falei sobre o espelhamento de portas.
> > >
> > > Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele é
> > > responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de URL(não
> > > como um proxy)
> > >
> > > Ele analisa e bloqueia todo o tráfego direcionado para o meu gateway,
> mas
> > > não trabalha como bridge, considero bridge como um ponto de falha que
> deve
> > > ser descartado em um BCP, a não ser que ele se torne um dispositivo da
> > > camada 2 caso aconteça algum problema com o software gerenciador, então
> não
> > > existirá impacto.
> > >
> > > A porta do switch conectado no RTGuardian é o "destination" no
> espelhamento
> > > de portas, e a porta do switch conectado no roteador gateway é o
> "source"
> > > desse mesmo espelhamento. Com isso todo o tráfego de spyware, P2P e IM é
> > > bloqueado antes de alcançar a Internet.
> > >
> > > Abs.,
> > > Hugo
> >
> > --
> > .o. André Bertelli Araújo Debian GNU/Linux
> > ..o http://bertelli.name
> > ooo <><
> >
>
>



--
.o.    André Bertelli Araújo       Debian GNU/Linux
..o    http://bertelli.name
ooo    <><

#674

De: "josuemendessilva" <josuemendessilva@...>
Data: Qui, 28 de Fev de 2008 5:12 pm
Assunto: Simular rede em VMWARE

Prezados,

Estou estudando a implantação do HLBR, mas gostaria de efetuar um
teste em ambiente virtual (VMWARE), minha rede real funciona na
seguinte topologia:

- internet <-> [PROXY/FIREWALL] <-> rede interna.

Sei que devo colocar o HLBR entre a internet e o proxy, mas o HLBR
fica "escutando o tráfego" ? ou seja não preciso fazer qualquer
configuração na maquina com o HLBR ? basta espetá-la com as interfaces
eth0 (internet) e eth1 (proxy) ?

Att.

Josué Mendes

#675

De: "André Bertelli Araújo" <bertelli.andre@...>
Data: Qui, 28 de Fev de 2008 7:49 pm
Assunto: Re: Simular rede em VMWARE

2008/2/28 josuemendessilva <josuemendessilva@...>:
>
> Prezados,
>
>  Estou estudando a implantação do HLBR, mas gostaria de efetuar um
>  teste em ambiente virtual (VMWARE), minha rede real funciona na
>  seguinte topologia:
>
>  - internet <-> [PROXY/FIREWALL] <-> rede interna.
>
>  Sei que devo colocar o HLBR entre a internet e o proxy, mas o HLBR
>  fica "escutando o tráfego" ? ou seja não preciso fazer qualquer
>  configuração na maquina com o HLBR ? basta espetá-la com as interfaces
>  eth0 (internet) e eth1 (proxy) ?

Sim.
A configuração é comentada no arquivo README ; basicamente, dê um IP
local às placas (sugiro 127.0.0.2 para eth0 e 127.0.0.3 para eth1) e
edite o hlbr.conf .

>  Att.
>
>  Josué Mendes



--
.o.    André Bertelli Araújo
..o    http://bertelli.name
ooo    <><

#676

De: Josué Silva <josuemendessilva@...>
Data: Sex, 29 de Fev de 2008 1:14 pm
Assunto: Erro Failde to write packet to interface eth1

Prezados,

Após configurar o HLBR, estou recebendo o erro acima no console, mas o software aparentemente esta funcionando.

Do que se trata ?

att.

Josué Mendes
josuemendessilva@...
-------------------------------------------------
Seja livre use linux...
Aceite a Jesus e seja Liberto ! Jo. (3:16)

Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!

#677

De: PEdroARthur_JEdi <pedro.forum@...>
Data: Dom, 2 de Mar de 2008 6:42 pm
Assunto: Res:Erro Failde to write packet to interface eth1

pedroarthur....

Boa tarde,

Você tem certeza absoluta que o HLBR está funcionando mesmo com esse erro?
Você poderia enviar um dump do tcpdump ou wireshark pra análise?

--
Por mais que eu pinte um burro nas cores de uma zebra, um burro sempre
será um burro!

As most as I paint a donkey in the color of a zebra, a donkey will
always be a donkey

-- Dr. Sc. Antônio Ronaldo Garcia

#678

De: "to_fly_free" <to_fly_free@...>
Data: Qui, 6 de Mar de 2008 7:15 pm
Assunto: configuração para 2 links(4 placas)

to_fly_free

estou começando agora com o hlbr. gostaria de saber a configuração
para que ele trabalhe monitorando 2 links com 4 interfaces de rede.
Obrigado

#679

De: Josué Silva <josuemendessilva@...>
Data: Sex, 7 de Mar de 2008 8:45 pm
Assunto: Criar regra baseado em DUMP - TCPDUMP

Pessoal,

Estou tentando identificar um problema na rede onde trabalho, que esta gerando o travamento de nosso servidor proxy, instalei o wireshak no mesmo para capturar os pacotes durante o travamento e as únicas informação úteis que pude detectar como padrão foram as seguintes

1a - [bad tcp cksum f3e2 (->1573)!] 1150776:1152236(1460) ack 1 win 64965

2a - 000000 [|ether]

Gostaria de saber como posso configurar uma regra no hlbr para dar um drop nos pacotes que contivessem as informações acima, pois li as regras existentes e não entendi como poderia adequa-las a minha necessidade.

Grato,

Josué Mendes

Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!

#680

De: PEdroARthur_JEdi <pedro.forum@...>
Data: Sáb, 8 de Mar de 2008 3:56 pm
Assunto: Res:Criar regra baseado em DUMP - TCPDUMP

pedroarthur....

Bom dia amigo,

Você poderia mandar em anexo um dump mais detalhado?
Por hora, posso dizer que você pode fazer:

tcp content (|f3 e2|)

O tcp content é capaz de verificar bytes individuais nos pacotes tcp e
tomar decisões baseadas neles. Mas no caso acima, é uma regra muiro
genérica então recomendo você estudar mais seu dump.

Recomendo você dar uma olhada na match ``unclean'' do iptables. Ela
consegue derrubar pacotes com checksum errados.

--
Por mais que eu pinte um burro nas cores de uma zebra, um burro sempre
será um burro!

As most as I paint a donkey in the color of a zebra, a donkey will
always be a donkey

-- Dr. Sc. Antônio Ronaldo Garcia

#681

De: "André Bertelli Araújo" <bertelli.andre@...>
Data: Dom, 9 de Mar de 2008 4:34 pm
Assunto: Re: Res:Criar regra baseado em DUMP - TCPDUMP

2008/3/8 PEdroARthur_JEdi <pedro.forum@...>:
> Bom dia amigo,
>
>  Você poderia mandar em anexo um dump mais detalhado?
>  Por hora, posso dizer que você pode fazer:
>
>  tcp content (|f3 e2|)
>
>  O tcp content é capaz de verificar bytes individuais nos pacotes tcp e
>  tomar decisões baseadas neles. Mas no caso acima, é uma regra muiro
>  genérica então recomendo você estudar mais seu dump.

Dá pra "otimizar" um pouco mais uma regra deste tipo, usando a regra
tcp offset. Por exempo, digamos que a seqüência de bytes acima devesse
ocorrer sempre a partir do 18º byte de um pacote TCP:

tcp offset(18,|f3 e2|)

Assim dá pra restringir a regra de modo que ela procure esta seqüência
em uma posição específica do cabeçalho TCP, e não em qualquer lugar do
pacote.

>  Recomendo você dar uma olhada na match ``unclean'' do iptables. Ela
>  consegue derrubar pacotes com checksum errados.
>
>  --
>  Por mais que eu pinte um burro nas cores de uma zebra, um burro sempre
>  será um burro!
>
>  As most as I paint a donkey in the color of a zebra, a donkey will
>  always be a donkey
>
>  -- Dr. Sc. Antônio Ronaldo Garcia
>
>
>



--
.o.    André Bertelli Araújo
..o    http://bertelli.name
ooo    <><

#682

De: Josué Silva <josuemendessilva@...>
Data: Seg, 10 de Mar de 2008 12:32 pm
Assunto: Res: Res:Criar regra baseado em DUMP - TCPDUMP

Anexo parte do dump solicitado.

att.

Josué Mendes
josuemendessilva@...
-------------------------------------------------
Seja livre use linux...
Aceite a Jesus e seja Liberto ! Jo. (3:16)

----- Mensagem original ----
De: PEdroARthur_JEdi <pedro.forum@...>
Para: hlbr@...
Enviadas: Sábado, 8 de Março de 2008 12:56:30
Assunto: [hlbr] Res:Criar regra baseado em DUMP - TCPDUMP

Bom dia amigo,

Você poderia mandar em anexo um dump mais detalhado?
Por hora, posso dizer que você pode fazer:

tcp content (|f3 e2|)

O tcp content é capaz de verificar bytes individuais nos pacotes tcp e
tomar decisões baseadas neles. Mas no caso acima, é uma regra muiro
genérica então recomendo você estudar mais seu dump.

Recomendo você dar uma olhada na match ``unclean'' do iptables. Ela
consegue derrubar pacotes com checksum errados.

--
Por mais que eu pinte um burro nas cores de uma zebra, um burro sempre
será um burro!

As most as I paint a donkey in the color of a zebra, a donkey will
always be a donkey

-- Dr. Sc. Antônio Ronaldo Garcia

Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!

#683

De: Dailson Fernandes <dailson@...>
Data: Qua, 12 de Mar de 2008 1:16 pm
Assunto: Re: configuração para 2 links(4 placas)

dailson

Você deverá formar dois pares de placas, primeiro descobrindo quem são elas.
Então você poderá fazer por exemplo uma bridge com eth0 e eth1 e a outra com eth2 e eth3.

No início do hlbr.conf tem a seguinte seção:

<interface eth0>
Type=linux_raw
Proto=Ethernet
</interface>

<interface eth1>
Type=linux_raw
Proto=Ethernet
</interface>

Acrescente as duas outras placas de rede

<interface eth2>
Type=linux_raw
Proto=Ethernet
</interface>

<interface eth3>
Type=linux_raw
Proto=Ethernet
</interface>

No final do hlbr.conf tem a seguinte seção:

<routing>
SBridge(eth0, eth1)
</routing>

ai você acrescenta a outra bridge

<routing>
SBridge(eth2, eth3)
</routing>

Eu nunca testei tal recurso, mas acho que funciona ;)

Dailson Fernandes
http://dailson.blogspot.com

to_fly_free <to_fly_free@...> escreveu:

estou começando agora com o hlbr. gostaria de saber a configuração
para que ele trabalhe monitorando 2 links com 4 interfaces de rede.
Obrigado

############@##################
# #
# Dailson Fernandes #
# http://dailson.blogspot.com #
# #
###############################

Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!