duvida sobre snort+guardian
Instalei o snort e o guardian usando o guia aqui do underlinux, e deu tudo OK. Pelo o q eu entendi, o snort vai analizar o tráfego e colocar os alertas de acordo com as regras em /var/log/snort/alert, e o guardian vai ler esses alertas e através do iptables vai bloquear certo?
Pra fazer um teste eu criei um arquivo ssh.rules para alertar se alguem fizer ssh:
alert tcp any any -> 192.168.2.0/24 22 (msg:"acesso ssh";)
entao rodei o snort e o guardian. O iptables esta rodando também. Tudo OK. Fiz um ssh pra uma maquina aqui da rede e consegui. Olhei no log alert do snort e estava lá:
[**] [1:0:0] acesso ssh [**]
[Priority: 0]
01/20-11:39:25.295478 192.168.2.114:35782 -> 192.168.2.60:22
TCP TTL:64 TOS:0x10 ID:19961 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x8EAC6AA5 Ack: 0xBA5AB21D Win: 0x9F4 TcpLen: 32
TCP Options (3) => NOP NOP TS: 2825544 237702578
No guardian.ignore nao botei nenhum ip. O guardian não deveria ter bloqueado esse acesso? Ou não é assim que funciona o guardian? Alguém pode me ajudar?
duvida sobre snort+guardian
valeu cara, mas eu queria primeiro tentar com esse guardian, se nao der eu tento com esse ai
duvida sobre snort+guardian
ninguem ae entende de guardian?...
duvida sobre snort+guardian
o guardian não entra em ação com qualquer alerta, ele vai criar uma regra de iptables para bloquear alguem que tente rodar um portscan na sua máquina