+ Responder ao Tópico



  1. #1
    Visitante

    Padrão snort + guardian...

    pessoal.. instalei o Snort + Guardian conforme o tutorial que tem aqui na underlinux...

    esta tudo rodando.. tudo certinho..

    so uma duvida que eu tenho..

    pelo o que eu entendi.. a variavel HOME_NET tem uqe por os ips da minha rede interna.. pois sao esses IPS que o Snort vai scanear...
    mais o que eu percebi nos logs.. é que o guardian e o snort so ficam scaneando tudo o que sae da minha rede interna para a internet.. quando na verdade eu quero ter o IDS protegendo os meus servidores Externos..

    ou seja.. euq euro que o snort + guardian apenas fique scaneando e bloqueando os acessos da internet com destino aos meus servidores da DMZ..

    como eu faço isso?

    como eu poderia testar o guardian.. para ver se realmente ele vai criar a regra no iptables trancando o acesso daquele IP que tentou atacar?

  2. #2

    Padrão snort + guardian...

    seguinte... coloque o HOME_NET com a faixa de IPs da sua rede interna,
    tipo: 192.168.0.0/24

    deixe o EXTERNAL_NET como any

    verifique no snort.conf se existe a linha:

    #preprocessor portscan: $HOME_NET 4 3 portscan.log

    se existir apenas apenas descomente e mude o $HOME_NET para $EXTERNAL_NET ...

    caso não exista adicione ela...

    veja se existe esta linha, se não coloque ela, e adiciona na frente os ips, ou faixas de IPs a serem ignorados...

    preprocessor portscan-ignorehosts: 0.0.0.0

    verifique se o guardian esta analisando o arquivo portscan.log, se o endereço para este arquivo esta correto no guardian.conf(AlertFile).

    para testar o guardian bloquenado um scan va no console e digite:

    $ guardian_block 200.200.200.200 eth0



  3. #3
    Visitante

    Padrão snort + guardian...

    ok.. mais no guardian.conf eu ja esta indicado para ele usar o arquvo /var/log/snort/alert como default... e se eu mudar ele para /var/log/snort/portscan.log ele so vai me trancar os hosts que estiverem fazendo port scan certo? e se nao for um port scan ... com o o guardian vai saber.. pois ele so esta monitorando o port scan..


    outra coisa... pq o log do Guardian.. so acusa como ... No Action done.

    mesmo no /var/log/snort/alert estar logando um monte de coisa que teoricamente ele estaria acusando como um ataque... mais mesmo assim no Guardian nao bloqueia o IP no iptables.. so aparece "No Action done" para tudo o que ele loga...

  4. #4
    Visitante

    Padrão snort + guardian...

    olha só..

    isso aqui o Guardian fica logando..

    Odd.. source = 10.0.0.7, dest = 80.170.168.82. No action done.

    um monte de linhas parecidas com essa ae...

    eu queria que ele so ficasse analisando os IPS que vem da internet.. mais ele so fica analisando o que sae da minha rede interna para a internet..

    como eu mudo isso.. ele teria que analisar somenteo que vem de fora.. para dentro da rede.. mais ele esta fazendo somente o contrario.. o SOURCE sempre é ip interno..

    outra coisa.. como eu faço para o snort parar de alertar o que é destinado a rede interna somente?/

    tem muita coisa lo log dosnort que fica assim..

    [**] [1:1917:4] SCAN UPnP service discover attempt [**]
    [Classification: Detection of a Network Scan] [Priority: 3]
    03/11-11:26:53.437752 10.0.0.101:3994 -> 10.0.0.205:1900
    UDP TTL:128 TOS:0x0 ID:25370 IpLen:20 DgmLen:161
    Len: 133

    preste atencao que no campo em negrito... e de um IP interno para outro... e mesmo asim o snort fica logando... tem como ele logar apenas o que vier de fora da rede?



  5. #5

    Padrão snort + guardian...

    então! ele esta analisando o HOME_NET enquanto deveria analisar o external net...

    ja disse o que tem que ser feito:

    no snort.conf

    HOME_NET 10.0.0.0/24

    EXTERNAL_NET any

    preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log

    preprocessor portscan-ignorehosts: 10.0.0.0/24

    certifique-se que no guardian.conf a esteja usando a interface
    de rede da internet(eth0/eth1)

    e coloque o AlertFile o path do arquivo portscan.log

  6. #6
    Visitante

    Padrão snort + guardian...

    blz.. agora deu certo.... porem.. o Guardian nao esta fazendo nada com os logs de portscan que aparece la no portscan.log

    ele fala para tudo...

    No action done.

    quando deveria bloquear o IP no iptables..

    sabe como resolver?



  7. #7

    Padrão snort + guardian...

    faça um teste.... entre aqui com o Iexplorer em alguma maquina windows da rede...: http://security.norton.com/sscv6/def...d=ie&venid=sym

    selecione o security scan .... a symantec ira fazer um scan em seu pc...
    veja se o scan é detectado pelo snort e barrado pelo guardian...

    o que vc possui no seu guardian.ignore..poste aqui seu guardian.conf ...
    qual versão do seu guardian?! qual a interface de rede está conectada a internet?!

  8. #8
    Visitante

    Padrão snort + guardian...

    sim..o scan é detectado pelo snort... porem.. o guardian.. nao faz nada... so informa... No action done.

    a versao do guardian é 1.6 é a ultima que tem disponivel no site...

    o snort é 2.1.1

    minha interface de internet é a eth1

    guardian.conf
    ----------------------------------------------------------------------------
    HostIpAddr 200.XXX.XXX.XXX

    # Here we define the interface which we will use to guess the IP address, and
    # block incoming offending packets. This is the only option that is required
    # for guardian to run. If the rest are undefined, guardian will use the default.
    Interface eth1

    # The last octet of the ip address, which gives us the gateway address.
    HostGatewayByte 1

    # Guardian's log file
    LogFile /var/log/guardian.log

    # Snort's alert file. This can be the snort.alert file, or a syslog file
    # There might be some snort alerts that get logged to syslog which guardian
    # might not see..
    AlertFile /var/log/snort/portscan.log

    # The list of ip addresses to ignore
    IgnoreFile /etc/guardian.ignore

    # The time in seconds to keep a host blocked. If undefined, it defaults to
    # 99999999, which basicly disables the feature.
    TimeLimit 86400
    ------------------------------------------------------------------------------------

    alguma dica?



  9. #9

    Padrão snort + guardian...

    poste o guardian.log logo após vc ter feito o teste que disse acima, e poste tb o guardian.ignore aqui...

    vlws...

  10. #10
    Visitante

    Padrão snort + guardian...

    segue os dados solicitados...

    guardian.ignore

    ------------------------------------------------------
    127.0.0.1
    10.x.x.254
    200.xxx.xxx.xxx
    ------------------------------------------------------

    10.x.x.254 - ip interno do servidor - eth0
    200.xxx.xxx.xxx - ip externo do servidor - eth1


    guardian.log no momento do portscan..

    ---------------------------------------------------------
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
    Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.

    --------------------------------------------------------------


    alguma dica?



  11. #11

    Padrão snort + guardian...

    # HostIpAddr
    //deixe comentada esta linha acima, o endereço IP ele irá pegar automaticamente com a interface abaixo!

    Interface eth1

    HostGatewayByte 1

    LogFile /var/log/guardian.log

    AlertFile /var/log/snort/portscan.log

    IgnoreFile /etc/guardian.ignore

    TimeLimit 999999999


    retire do ignore list o ip do pc e o 127.0.0.1 e seu 200.xxx.xxx.xxx não precisa....

    reinicie o guardian... e veja se agora vai.... andei vendo o script do guardian, e parece que tem a ver com a variavel HostIpAddr por isso comente-a.....

  12. #12
    Visitante

    Padrão snort + guardian...

    blz cara,,, funcionou,,,


    mais dessa maneira.. ele vai semrpe deixar o IP bloqueado certo..?

    posso manter aquele valor em 86400? o que vc recomenda??

    valew..



  13. #13

    Padrão snort + guardian...

    deixe como 999999999 para que o IP fique sempre bloqueado....

    vlws...!