Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    pessoal.. instalei o Snort + Guardian conforme o tutorial que tem aqui na underlinux...

    esta tudo rodando.. tudo certinho..

    so uma duvida que eu tenho..

    pelo o que eu entendi.. a variavel HOME_NET tem uqe por os ips da minha rede interna.. pois sao esses IPS que o Snort vai scanear...
    mais o que eu percebi nos logs.. é que o guardian e o snort so ficam scaneando tudo o que sae da minha rede interna para a internet.. quando na verdade eu quero ter o IDS protegendo os meus servidores Externos..

    ou seja.. euq euro que o snort + guardian apenas fique scaneando e bloqueando os acessos da internet com destino aos meus servidores da DMZ..

    como eu faço isso?

    como eu poderia testar o guardian.. para ver se realmente ele vai criar a regra no iptables trancando o acesso daquele IP que tentou atacar?

  2. seguinte... coloque o HOME_NET com a faixa de IPs da sua rede interna,
    tipo: 192.168.0.0/24

    deixe o EXTERNAL_NET como any

    verifique no snort.conf se existe a linha:

    #preprocessor portscan: $HOME_NET 4 3 portscan.log

    se existir apenas apenas descomente e mude o $HOME_NET para $EXTERNAL_NET ...

    caso não exista adicione ela...

    veja se existe esta linha, se não coloque ela, e adiciona na frente os ips, ou faixas de IPs a serem ignorados...

    preprocessor portscan-ignorehosts: 0.0.0.0

    verifique se o guardian esta analisando o arquivo portscan.log, se o endereço para este arquivo esta correto no guardian.conf(AlertFile).

    para testar o guardian bloquenado um scan va no console e digite:

    $ guardian_block 200.200.200.200 eth0



  3. #3
    ok.. mais no guardian.conf eu ja esta indicado para ele usar o arquvo /var/log/snort/alert como default... e se eu mudar ele para /var/log/snort/portscan.log ele so vai me trancar os hosts que estiverem fazendo port scan certo? e se nao for um port scan ... com o o guardian vai saber.. pois ele so esta monitorando o port scan..


    outra coisa... pq o log do Guardian.. so acusa como ... No Action done.

    mesmo no /var/log/snort/alert estar logando um monte de coisa que teoricamente ele estaria acusando como um ataque... mais mesmo assim no Guardian nao bloqueia o IP no iptables.. so aparece "No Action done" para tudo o que ele loga...

  4. #4
    olha só..

    isso aqui o Guardian fica logando..

    Odd.. source = 10.0.0.7, dest = 80.170.168.82. No action done.

    um monte de linhas parecidas com essa ae...

    eu queria que ele so ficasse analisando os IPS que vem da internet.. mais ele so fica analisando o que sae da minha rede interna para a internet..

    como eu mudo isso.. ele teria que analisar somenteo que vem de fora.. para dentro da rede.. mais ele esta fazendo somente o contrario.. o SOURCE sempre é ip interno..

    outra coisa.. como eu faço para o snort parar de alertar o que é destinado a rede interna somente?/

    tem muita coisa lo log dosnort que fica assim..

    [**] [1:1917:4] SCAN UPnP service discover attempt [**]
    [Classification: Detection of a Network Scan] [Priority: 3]
    03/11-11:26:53.437752 10.0.0.101:3994 -> 10.0.0.205:1900
    UDP TTL:128 TOS:0x0 ID:25370 IpLen:20 DgmLen:161
    Len: 133

    preste atencao que no campo em negrito... e de um IP interno para outro... e mesmo asim o snort fica logando... tem como ele logar apenas o que vier de fora da rede?



  5. então! ele esta analisando o HOME_NET enquanto deveria analisar o external net...

    ja disse o que tem que ser feito:

    no snort.conf

    HOME_NET 10.0.0.0/24

    EXTERNAL_NET any

    preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log

    preprocessor portscan-ignorehosts: 10.0.0.0/24

    certifique-se que no guardian.conf a esteja usando a interface
    de rede da internet(eth0/eth1)

    e coloque o AlertFile o path do arquivo portscan.log






Tópicos Similares

  1. Snort + Guardian ... dulvidas
    Por H_Franzin no fórum Servidores de Rede
    Respostas: 1
    Último Post: 22-03-2005, 19:02
  2. snort + guardian
    Por Vampayre no fórum Segurança
    Respostas: 1
    Último Post: 16-11-2004, 23:30
  3. snort + guardian
    Por Brenno no fórum Servidores de Rede
    Respostas: 5
    Último Post: 12-11-2004, 21:14
  4. Snort+Guardian
    Por no fórum Segurança
    Respostas: 10
    Último Post: 12-11-2003, 09:39
  5. SNORT + GUARDIAN...
    Por no fórum Segurança
    Respostas: 2
    Último Post: 18-07-2003, 07:52

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L