none
IDS no isa 2006 RRS feed

  • Pergunta

  • Srs. e' sabido que o isa 2006 possui um alerta que registra tentativas de IPspoofing(um exemplo), podemos visualizar alguns detalhes como ip do cara que isso, mas, nao consegui gerar um relatorio com essas informacoes, ate' tentei faze-lo pelo log/servico=servico de firewall e gerar algo mais concreto. E' sabido tambem que existem outras ferramentas proprias para relatorios de deteccao de intrusao, etc, mas , gostaria de saber se alguem ja conseguiu gerar uma informacao mais consolidada dessa categoria atravez do isa?

    Cordialmente,
    Rogerio.
    segunda-feira, 14 de janeiro de 2008 13:15

Todas as Respostas

  •  

    Rogério, até agora só consegui gerar alertas.

    Estou de olho neste post, pra ver se alguém também já conseguiu gerar relatórios consolidados.

    Seria uma maravilha!

    segunda-feira, 14 de janeiro de 2008 16:08
  • Rogério,

     

    Veja se isso lhe atende:

     

    Você consegue criar um filtro, dentro da guia monitoring do ISA, que lhe mostra apenas os resultados do log relacionados a spoofing. Para isso, selecione no log time o período desejado de verificação e adicione uma guia de result code = 0xC0040014 . Esse código é o responsável pelo registro de ip spoofing dentro do ISA. Depois da monitoração montar a sua query, você pode copiá-la para o clipboard e exportar para o excel.

    Caso você queira conhecer mais sobre os códigos de erro, segue o site abaixo:

    http://msdn2.microsoft.com/en-us/library/ms812624.aspx

     

    Espero que lhe ajude.

     

    []'s

    Alberto

     

    segunda-feira, 14 de janeiro de 2008 17:17
    Moderador
  • Interessante a sugestão, agradeço o link, pois ja estava procurando. Mas infelismente isso não atende bem, pois protocolos como netbios e datagrama tam bem sao vistos como spoofing.. mesmo retirando do filtro, o relatorio nao fica muito bom nao, a  caracteristica spoofing nao fica bem registrada, vou continuar procurando um meio, assim q conseguir eu posto aqui.

    Valeu Alberto!
    segunda-feira, 14 de janeiro de 2008 20:47
  •  

    Oi Rogério,

     

    Mas o que caracteriza o spoofing é o pacote chegar em uma interface, como se tivesse vindo de outra. Exemplo: Você receber um pacote na rede 192.168.0.x, com o source como sendo 200.200.200.200. Esse pacote deveria chegar na rede 200 do ISA e não na 192.168, entende? Netbios é apenas mais um dos protocolos que "sofre" com o spoofing.Por sinal, se você está recebendo netbios na interface externa, por exemplo, possivelmente é porque o seu ISA está com netbios habilitado na interface externa. Sugiro desabilitar, quando aplicavel.

    Espero ter ajudado.

     

    []'s

    Alberto

    segunda-feira, 14 de janeiro de 2008 23:53
    Moderador
  • Tenho que preparar um trabalho para Faculdade sobre IDS,

    Alguém conhece algum programa simples que eu possa usar apenas para uma demostração, estou tentando instalar o SNORT, mas sem sucesso.

     

    Fernando

     

    quinta-feira, 20 de março de 2008 19:04