Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #6
    blz.. agora deu certo.... porem.. o Guardian nao esta fazendo nada com os logs de portscan que aparece la no portscan.log

    ele fala para tudo...

    No action done.

    quando deveria bloquear o IP no iptables..

    sabe como resolver?

  2. faça um teste.... entre aqui com o Iexplorer em alguma maquina windows da rede...: http://security.norton.com/sscv6/def...d=ie&venid=sym

    selecione o security scan .... a symantec ira fazer um scan em seu pc...
    veja se o scan é detectado pelo snort e barrado pelo guardian...

    o que vc possui no seu guardian.ignore..poste aqui seu guardian.conf ...
    qual versão do seu guardian?! qual a interface de rede está conectada a internet?!



  3. #8
    sim..o scan é detectado pelo snort... porem.. o guardian.. nao faz nada... so informa... No action done.

    a versao do guardian é 1.6 é a ultima que tem disponivel no site...

    o snort é 2.1.1

    minha interface de internet é a eth1

    guardian.conf
    ----------------------------------------------------------------------------
    HostIpAddr 200.XXX.XXX.XXX

    # Here we define the interface which we will use to guess the IP address, and
    # block incoming offending packets. This is the only option that is required
    # for guardian to run. If the rest are undefined, guardian will use the default.
    Interface eth1

    # The last octet of the ip address, which gives us the gateway address.
    HostGatewayByte 1

    # Guardian's log file
    LogFile /var/log/guardian.log

    # Snort's alert file. This can be the snort.alert file, or a syslog file
    # There might be some snort alerts that get logged to syslog which guardian
    # might not see..
    AlertFile /var/log/snort/portscan.log

    # The list of ip addresses to ignore
    IgnoreFile /etc/guardian.ignore

    # The time in seconds to keep a host blocked. If undefined, it defaults to
    # 99999999, which basicly disables the feature.
    TimeLimit 86400
    ------------------------------------------------------------------------------------

    alguma dica?

  4. poste o guardian.log logo após vc ter feito o teste que disse acima, e poste tb o guardian.ignore aqui...

    vlws...



  5. #10
    segue os dados solicitados...

    guardian.ignore

    ------------------------------------------------------
    127.0.0.1
    10.x.x.254
    200.xxx.xxx.xxx
    ------------------------------------------------------

    10.x.x.254 - ip interno do servidor - eth0
    200.xxx.xxx.xxx - ip externo do servidor - eth1


    guardian.log no momento do portscan..

    ---------------------------------------------------------
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.

    --------------------------------------------------------------


    alguma dica?






Tópicos Similares

  1. Snort + Guardian ... dulvidas
    Por H_Franzin no fórum Servidores de Rede
    Respostas: 1
    Último Post: 22-03-2005, 19:02
  2. snort + guardian
    Por Vampayre no fórum Segurança
    Respostas: 1
    Último Post: 16-11-2004, 23:30
  3. snort + guardian
    Por Brenno no fórum Servidores de Rede
    Respostas: 5
    Último Post: 12-11-2004, 21:14
  4. Snort+Guardian
    Por no fórum Segurança
    Respostas: 10
    Último Post: 12-11-2003, 09:39
  5. SNORT + GUARDIAN...
    Por no fórum Segurança
    Respostas: 2
    Último Post: 18-07-2003, 07:52

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L