http://www.zago.eti.br/firewall/ids.txt Detectar intrusos na rede, (invasão), FAQ com mensagens da lista linux-br e outras, comentarios, indicações de diversas, aplicativos, tutoriais. Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ******************************************************** http://www.lids.org/ The Linux Intrusion Defence System (LIDS) is a kernel patch and admin tools which enhances the kernel's security by implementing Mandatory Access Control (MAC). ******************************************************** ******************************************************** De:  pitanga Para:  André Silva Coelho de Oliveira Cc:  Lista Linux Br Assunto:  Re: (linux-br)Sistemas IDS Data:  29 Sep 2003 11:36:27 -0300 Em Seg, 2003-09-29 às 11:16, André Silva Coelho de Oliveira escreveu: > Bom dia, > >       Marcos, qual é a vantagem de eu ter um sistema IDS instalado? Já não me basta > ter um firewall implantado protegendo minha rede? Quem disse que um firewall protege totalmente sua rede... posso muito bem fazer tunneling pela sua porta http e passar comandos por ele e entrar no seu sistema... Fazer um bufferoverflow no seu FTP, DNS etc... é um firewall nem vai dar conta que está sob ataque pois o tráfego aparentemente é "Legal". e seu firewall nem vai perceber isso, e pode usar filter packet ou statefull que de nada adianta , ele não olha o conteúdo do pacote. >       Pelo que li e entendi, um IDS detecta um intruso ou um ataque, o bloqueia e > faz um contra-ataque. Esou muito errado? Com um IDS os pacotes são analisados e checados na incidência de assinaturas de ataques, e a partir dali vc pode gerar alertas ou torna-los reativos acoplados ao firewall.. Tire a imagem que o firewall é um único ser em um perímetro de defesa... abs Marcos Pitanga Linux Clusters Specialist ******************************************************** De:  Amim Moises Salum Knabben Para:  Linux Assunto:  Re: (linux-br)IDS Data:  Fri, 16 Jan 2004 14:02:51 -0300 > Pessoal, alguem saberia me dizer nome de IDSs > > Tais como: > Snort: > AIDE > etc... Olá, Meu amigo no final do ano se formou e seu TCC foi sobre um protocolo de comunicação entre um firewall e IDS usando máquinas GNU/Linux e Windows, segundo ele o melhor IDS é o Snort, nem precisa mais pesquisar hehe falo, -- Abaixo ao imperialismo norte-americano, um assassino já foi agora só falta outro! AMIM M. S. KNABBEN ******************************************************** De:  Douglas Matheus Para:  'elvio' , linux-br@bazar.conectiva.com.br Assunto:  RES: (linux-br)Help!!! Mydoom Problema no Servidor de Email Data:  Wed, 4 Feb 2004 09:18:35 -0200 Sugestão: Se você está suspeitando de um ataque e não encontra pistas, uma ferramenta de detecção de rootkits pode te despreocupar. Baixe um rootcheck do site http://www.honeypot.com.br/tools.htm  procure por um rootcheck. Douglas --- ******************************************************** De:  André Carezia Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Sistema de monitoramento linux. Data:  Wed, 12 Jan 2005 13:03:52 -0200 LUIS CARLOS FIDALGO wrote: Este IDS poderia ser na mesma maquina que rodo o Nagios ou teria que ser > outra maquina só com os serviços ativos para prover um IDS. >   > Depende. Digamos que a rede esteja protegida com um "firewall" bem configurado, permitindo apenas conexões (partindo tanto do lado de fora quanto do lado de dentro) a serviços (portas) necessários. Digamos também que você queira monitorar apenas o tráfego que consegue chegar à interface interna do "firewall". Nesse caso, o sistema de detecção de invasão precisa ser capaz de observar o tráfego de todas as máquinas da rede. Uma solução simples é instalar um sistema de invasão (Snort, digamos) no próprio "firewall", se ele rodar algum tipo aberto de Unix. []s, -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br ********************************************************