snort + guardian!

[Brenno]

bom dia a todos.

bom pessoal, como eu tinha dito no outro topico, o meu snort ta funcionando tudo ok, então resolvi instalar o guardian, fazia muito que não instalava, mas já instalei e já ta rodando...

minhas duvida eh o seguinte, o guardian só roda com usuario root?
e outra, dei um nmap para meu servidor, para testar o guardian, depois dei iptables -L -v, não vi nem uma regra que o guardian adiciono, como posso saber se ele ta rodando e funcionando blzinha?

meu guardian.conf

Interface ppp0

# The last octet of the ip address, which gives us the gateway address.
HostGatewayByte 1

# Guardian's log file
LogFile /var/log/guardian.log

# Snort's alert file. This can be the snort.alert file, or a syslog file
# There might be some snort alerts that get logged to syslog which guardian
# might not see..
AlertFile /var/log/snort/portscan.log

# The list of ip addresses to ignore
IgnoreFile /etc/guardian.ignore

# The time in seconds to keep a host blocked. If undefined, it defaults to
# 99999999, which basicly disables the feature.
TimeLimit 99999999

agora meu guardian_block.sh

source=$1
interface=$2
[email protected]
log=/tmp/tmp_$1
mail_cmd=/bin/mail

/usr/sbin/iptables -I INPUT -s $source -i $interface -j DROP
echo "O IP: $1 foi bloqueado" > $log
$mail_cmd -s "ALERTA" $admin < $log
rm -f $log

alterei isso de acordo com um howto do ice
e to dando start no guardian com o comando
guardian.pl -c /etc/guardian.conf

oq eu to fazendo de errado?

[1c3m4n]

entaum eh o seguinte no guardian:

se vc seguiu meu artigo ele soh vai bloquear portscan, os outros ataques não (arquivo portscan.log)

ele soh roda como root pq depende do iptables....

e como vc colocou no ignore do guardian tua maquina, ele não vai tentar te bloquear nunca, o certo eh vc pegar uma máquina de fora da tua rede e rodar um portscan

da uma busca ai na net que da pra fazer portscan por alguns sites, ai vc vai conseguir testar

[Brenno]

entaum eh o seguinte no guardian:

se vc seguiu meu artigo ele soh vai bloquear portscan, os outros ataques não (arquivo portscan.log)

ele soh roda como root pq depende do iptables....

e como vc colocou no ignore do guardian tua maquina, ele não vai tentar te bloquear nunca, o certo eh vc pegar uma máquina de fora da tua rede e rodar um portscan

da uma busca ai na net que da pra fazer portscan por alguns sites, ai vc vai conseguir testar

foi isso que eu fiz ice, eu fui pro outro servidor meu fora da minha rede, e danei um nmap. o snort acuso o ip na hora desse meu servidor, no q o guardian n bloquiou esse ip :/

[1c3m4n]

Eh pro guardian pegar esse arquivo:
AlertFile /var/log/snort/portscan.log

se o snort estiver gravando ele em outro da pau mesmo,

alias como ta seu guardian.ignore

[Brenno]

Eh pro guardian pegar esse arquivo:
AlertFile /var/log/snort/portscan.log

se o snort estiver gravando ele em outro da pau mesmo,

alias como ta seu guardian.ignore

o snort ta acusando no portscan.log mesmo

meu ignore ta assim

127.0.0.1
192.168.1.0/24

vou restartar o guardian e o snort de novo pra testar!!

[Brenno]

quando starto o guardian aparece

OS shows Linux
Warning! HostIpAddr is undefined! Attempting to guess..
Got it.. your HostIpAddr is 200.*.*.*
My ip address and interface are: 200.*.*.* ppp0
Loaded 2 addresses from /etc/guardian.ignore
Becoming a daemon..

não to entendo pq n ta funcionando esse diaxo!!

[1c3m4n]

hmmmm eh o problema de vc ter ip dinamico.....

precisa dar um jeito dele ler o ip atraves do dominio do no-ip que vc crio

[Brenno]

hmmmm eh o problema de vc ter ip dinamico.....

precisa dar um jeito dele ler o ip atraves do dominio do no-ip que vc crio

falto olhar ow /var/log/guardian.log

Fri Apr 8 09:13:16 2005: 200.217.*.*
Running '/usr/local/bin/guardian_block.sh 200.217.*.* ppp0'
Fri Apr 8 09:13:16 2005: 200.217.*.*
Fri Apr 8 09:13:16 2005: 200.217.*.*
Fri Apr 8 09:13:16 2005: 200.217.*.*
Fri Apr 8 09:13:16 2005: 200.217.*.*

ou seja, o guardian ta funcionano, pq ele n ta conseguindo adicionar a regra ?

AAA

[1c3m4n]

tenta executar o guardian_block.sh na mao passando o ip dp server e o ip do ataque pra ver oq acontece

[Brenno]

tenta executar o guardian_block.sh na mao passando o ip dp server e o ip do ataque pra ver oq acontece

vlw ice, agora ta tudo funcionando blz, eu fiz q vc falou, o caminho do iptables tava errado,


vlw mano brigadao

[Brenno]

ice? tem como eu usar o postfix q tar em outro servidor da minha rede pra enviar um e-mail se algum ip for bloquiado?

[Brenno]

esquece, ja reconfigurei o exim, ta tudo ok, falow obrigado de novo ae ice

fui