- snort + guardian...
+ Responder ao Tópico
-
snort + guardian...
pessoal.. instalei o Snort + Guardian conforme o tutorial que tem aqui na underlinux...
esta tudo rodando.. tudo certinho..
so uma duvida que eu tenho..
pelo o que eu entendi.. a variavel HOME_NET tem uqe por os ips da minha rede interna.. pois sao esses IPS que o Snort vai scanear...
mais o que eu percebi nos logs.. é que o guardian e o snort so ficam scaneando tudo o que sae da minha rede interna para a internet.. quando na verdade eu quero ter o IDS protegendo os meus servidores Externos..
ou seja.. euq euro que o snort + guardian apenas fique scaneando e bloqueando os acessos da internet com destino aos meus servidores da DMZ..
como eu faço isso?
como eu poderia testar o guardian.. para ver se realmente ele vai criar a regra no iptables trancando o acesso daquele IP que tentou atacar?
-
snort + guardian...
seguinte... coloque o HOME_NET com a faixa de IPs da sua rede interna,
tipo: 192.168.0.0/24
deixe o EXTERNAL_NET como any
verifique no snort.conf se existe a linha:
#preprocessor portscan: $HOME_NET 4 3 portscan.log
se existir apenas apenas descomente e mude o $HOME_NET para $EXTERNAL_NET ...
caso não exista adicione ela...
veja se existe esta linha, se não coloque ela, e adiciona na frente os ips, ou faixas de IPs a serem ignorados...
preprocessor portscan-ignorehosts: 0.0.0.0
verifique se o guardian esta analisando o arquivo portscan.log, se o endereço para este arquivo esta correto no guardian.conf(AlertFile).
para testar o guardian bloquenado um scan va no console e digite:
$ guardian_block 200.200.200.200 eth0
-
snort + guardian...
ok.. mais no guardian.conf eu ja esta indicado para ele usar o arquvo /var/log/snort/alert como default... e se eu mudar ele para /var/log/snort/portscan.log ele so vai me trancar os hosts que estiverem fazendo port scan certo? e se nao for um port scan ... com o o guardian vai saber.. pois ele so esta monitorando o port scan..
outra coisa... pq o log do Guardian.. so acusa como ... No Action done.
mesmo no /var/log/snort/alert estar logando um monte de coisa que teoricamente ele estaria acusando como um ataque... mais mesmo assim no Guardian nao bloqueia o IP no iptables.. so aparece "No Action done" para tudo o que ele loga...
-
snort + guardian...
olha só..
isso aqui o Guardian fica logando..
Odd.. source = 10.0.0.7, dest = 80.170.168.82. No action done.
um monte de linhas parecidas com essa ae...
eu queria que ele so ficasse analisando os IPS que vem da internet.. mais ele so fica analisando o que sae da minha rede interna para a internet..
como eu mudo isso.. ele teria que analisar somenteo que vem de fora.. para dentro da rede.. mais ele esta fazendo somente o contrario.. o SOURCE sempre é ip interno..
outra coisa.. como eu faço para o snort parar de alertar o que é destinado a rede interna somente?/
tem muita coisa lo log dosnort que fica assim..
[**] [1:1917:4] SCAN UPnP service discover attempt [**]
[Classification: Detection of a Network Scan] [Priority: 3]
03/11-11:26:53.437752 10.0.0.101:3994 -> 10.0.0.205:1900
UDP TTL:128 TOS:0x0 ID:25370 IpLen:20 DgmLen:161
Len: 133
preste atencao que no campo em negrito... e de um IP interno para outro... e mesmo asim o snort fica logando... tem como ele logar apenas o que vier de fora da rede?
-
snort + guardian...
então! ele esta analisando o HOME_NET enquanto deveria analisar o external net...
ja disse o que tem que ser feito:
no snort.conf
HOME_NET 10.0.0.0/24
EXTERNAL_NET any
preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log
preprocessor portscan-ignorehosts: 10.0.0.0/24
certifique-se que no guardian.conf a esteja usando a interface
de rede da internet(eth0/eth1)
e coloque o AlertFile o path do arquivo portscan.log
-
snort + guardian...
blz.. agora deu certo.... porem.. o Guardian nao esta fazendo nada com os logs de portscan que aparece la no portscan.log
ele fala para tudo...
No action done.
quando deveria bloquear o IP no iptables..
sabe como resolver?
-
snort + guardian...
faça um teste.... entre aqui com o Iexplorer em alguma maquina windows da rede...: http://security.norton.com/sscv6/def...d=ie&venid=sym
selecione o security scan .... a symantec ira fazer um scan em seu pc...
veja se o scan é detectado pelo snort e barrado pelo guardian...
o que vc possui no seu guardian.ignore..poste aqui seu guardian.conf ...
qual versão do seu guardian?! qual a interface de rede está conectada a internet?!
-
snort + guardian...
sim..o scan é detectado pelo snort... porem.. o guardian.. nao faz nada... so informa... No action done.
a versao do guardian é 1.6 é a ultima que tem disponivel no site...
o snort é 2.1.1
minha interface de internet é a eth1
guardian.conf
----------------------------------------------------------------------------
HostIpAddr 200.XXX.XXX.XXX
# Here we define the interface which we will use to guess the IP address, and
# block incoming offending packets. This is the only option that is required
# for guardian to run. If the rest are undefined, guardian will use the default.
Interface eth1
# The last octet of the ip address, which gives us the gateway address.
HostGatewayByte 1
# Guardian's log file
LogFile /var/log/guardian.log
# Snort's alert file. This can be the snort.alert file, or a syslog file
# There might be some snort alerts that get logged to syslog which guardian
# might not see..
AlertFile /var/log/snort/portscan.log
# The list of ip addresses to ignore
IgnoreFile /etc/guardian.ignore
# The time in seconds to keep a host blocked. If undefined, it defaults to
# 99999999, which basicly disables the feature.
TimeLimit 86400
------------------------------------------------------------------------------------
alguma dica?
-
snort + guardian...
poste o guardian.log logo após vc ter feito o teste que disse acima, e poste tb o guardian.ignore aqui...
vlws...
-
snort + guardian...
segue os dados solicitados...
guardian.ignore
------------------------------------------------------
127.0.0.1
10.x.x.254
200.xxx.xxx.xxx
------------------------------------------------------
10.x.x.254 - ip interno do servidor - eth0
200.xxx.xxx.xxx - ip externo do servidor - eth1
guardian.log no momento do portscan..
---------------------------------------------------------
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
--------------------------------------------------------------
alguma dica?
-
snort + guardian...
# HostIpAddr
//deixe comentada esta linha acima, o endereço IP ele irá pegar automaticamente com a interface abaixo!
Interface eth1
HostGatewayByte 1
LogFile /var/log/guardian.log
AlertFile /var/log/snort/portscan.log
IgnoreFile /etc/guardian.ignore
TimeLimit 999999999
retire do ignore list o ip do pc e o 127.0.0.1 e seu 200.xxx.xxx.xxx não precisa....
reinicie o guardian... e veja se agora vai.... andei vendo o script do guardian, e parece que tem a ver com a variavel HostIpAddr por isso comente-a.....
-
snort + guardian...
blz cara,,, funcionou,,,
mais dessa maneira.. ele vai semrpe deixar o IP bloqueado certo..?
posso manter aquele valor em 86400? o que vc recomenda??
valew..
-
snort + guardian...
deixe como 999999999 para que o IP fique sempre bloqueado....
vlws...!