snort + guardian...

pessoal.. instalei o Snort + Guardian conforme o tutorial que tem aqui na underlinux...

esta tudo rodando.. tudo certinho..

so uma duvida que eu tenho..

pelo o que eu entendi.. a variavel HOME_NET tem uqe por os ips da minha rede interna.. pois sao esses IPS que o Snort vai scanear...
mais o que eu percebi nos logs.. é que o guardian e o snort so ficam scaneando tudo o que sae da minha rede interna para a internet.. quando na verdade eu quero ter o IDS protegendo os meus servidores Externos..

ou seja.. euq euro que o snort + guardian apenas fique scaneando e bloqueando os acessos da internet com destino aos meus servidores da DMZ..

como eu faço isso?

como eu poderia testar o guardian.. para ver se realmente ele vai criar a regra no iptables trancando o acesso daquele IP que tentou atacar?

[PiTsA]

seguinte... coloque o HOME_NET com a faixa de IPs da sua rede interna,
tipo: 192.168.0.0/24

deixe o EXTERNAL_NET como any

verifique no snort.conf se existe a linha:

#preprocessor portscan: $HOME_NET 4 3 portscan.log

se existir apenas apenas descomente e mude o $HOME_NET para $EXTERNAL_NET ...

caso não exista adicione ela...

veja se existe esta linha, se não coloque ela, e adiciona na frente os ips, ou faixas de IPs a serem ignorados...

preprocessor portscan-ignorehosts: 0.0.0.0

verifique se o guardian esta analisando o arquivo portscan.log, se o endereço para este arquivo esta correto no guardian.conf(AlertFile).

para testar o guardian bloquenado um scan va no console e digite:

$ guardian_block 200.200.200.200 eth0

ok.. mais no guardian.conf eu ja esta indicado para ele usar o arquvo /var/log/snort/alert como default... e se eu mudar ele para /var/log/snort/portscan.log ele so vai me trancar os hosts que estiverem fazendo port scan certo? e se nao for um port scan ... com o o guardian vai saber.. pois ele so esta monitorando o port scan..


outra coisa... pq o log do Guardian.. so acusa como ... No Action done.

mesmo no /var/log/snort/alert estar logando um monte de coisa que teoricamente ele estaria acusando como um ataque... mais mesmo assim no Guardian nao bloqueia o IP no iptables.. so aparece "No Action done" para tudo o que ele loga...

olha só..

isso aqui o Guardian fica logando..

Odd.. source = 10.0.0.7, dest = 80.170.168.82. No action done.

um monte de linhas parecidas com essa ae...

eu queria que ele so ficasse analisando os IPS que vem da internet.. mais ele so fica analisando o que sae da minha rede interna para a internet..

como eu mudo isso.. ele teria que analisar somenteo que vem de fora.. para dentro da rede.. mais ele esta fazendo somente o contrario.. o SOURCE sempre é ip interno..

outra coisa.. como eu faço para o snort parar de alertar o que é destinado a rede interna somente?/

tem muita coisa lo log dosnort que fica assim..

[**] [1:1917:4] SCAN UPnP service discover attempt [**]
[Classification: Detection of a Network Scan] [Priority: 3]
03/11-11:26:53.437752 10.0.0.101:3994 -> 10.0.0.205:1900
UDP TTL:128 TOS:0x0 ID:25370 IpLen:20 DgmLen:161
Len: 133

preste atencao que no campo em negrito... e de um IP interno para outro... e mesmo asim o snort fica logando... tem como ele logar apenas o que vier de fora da rede?

[PiTsA]

então! ele esta analisando o HOME_NET enquanto deveria analisar o external net...

ja disse o que tem que ser feito:

no snort.conf

HOME_NET 10.0.0.0/24

EXTERNAL_NET any

preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log

preprocessor portscan-ignorehosts: 10.0.0.0/24

certifique-se que no guardian.conf a esteja usando a interface
de rede da internet(eth0/eth1)

e coloque o AlertFile o path do arquivo portscan.log

blz.. agora deu certo.... porem.. o Guardian nao esta fazendo nada com os logs de portscan que aparece la no portscan.log

ele fala para tudo...

No action done.

quando deveria bloquear o IP no iptables..

sabe como resolver?

[PiTsA]

faça um teste.... entre aqui com o Iexplorer em alguma maquina windows da rede...: http://security.norton.com/sscv6/def...d=ie&venid=sym

selecione o security scan .... a symantec ira fazer um scan em seu pc...
veja se o scan é detectado pelo snort e barrado pelo guardian...

o que vc possui no seu guardian.ignore..poste aqui seu guardian.conf ...
qual versão do seu guardian?! qual a interface de rede está conectada a internet?!

sim..o scan é detectado pelo snort... porem.. o guardian.. nao faz nada... so informa... No action done.

a versao do guardian é 1.6 é a ultima que tem disponivel no site...

o snort é 2.1.1

minha interface de internet é a eth1

guardian.conf
----------------------------------------------------------------------------
HostIpAddr 200.XXX.XXX.XXX

# Here we define the interface which we will use to guess the IP address, and
# block incoming offending packets. This is the only option that is required
# for guardian to run. If the rest are undefined, guardian will use the default.
Interface eth1

# The last octet of the ip address, which gives us the gateway address.
HostGatewayByte 1

# Guardian's log file
LogFile /var/log/guardian.log

# Snort's alert file. This can be the snort.alert file, or a syslog file
# There might be some snort alerts that get logged to syslog which guardian
# might not see..
AlertFile /var/log/snort/portscan.log

# The list of ip addresses to ignore
IgnoreFile /etc/guardian.ignore

# The time in seconds to keep a host blocked. If undefined, it defaults to
# 99999999, which basicly disables the feature.
TimeLimit 86400
------------------------------------------------------------------------------------

alguma dica?

[PiTsA]

poste o guardian.log logo após vc ter feito o teste que disse acima, e poste tb o guardian.ignore aqui...

vlws...

segue os dados solicitados...

guardian.ignore

------------------------------------------------------
127.0.0.1
10.x.x.254
200.xxx.xxx.xxx
------------------------------------------------------

10.x.x.254 - ip interno do servidor - eth0
200.xxx.xxx.xxx - ip externo do servidor - eth1


guardian.log no momento do portscan..

---------------------------------------------------------
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.
Odd.. source = 206.204.10.209, dest = 200.XXX.XXX.XXX. No action done.

--------------------------------------------------------------


alguma dica?

[PiTsA]

# HostIpAddr
//deixe comentada esta linha acima, o endereço IP ele irá pegar automaticamente com a interface abaixo!

Interface eth1

HostGatewayByte 1

LogFile /var/log/guardian.log

AlertFile /var/log/snort/portscan.log

IgnoreFile /etc/guardian.ignore

TimeLimit 999999999


retire do ignore list o ip do pc e o 127.0.0.1 e seu 200.xxx.xxx.xxx não precisa....

reinicie o guardian... e veja se agora vai.... andei vendo o script do guardian, e parece que tem a ver com a variavel HostIpAddr por isso comente-a.....

blz cara,,, funcionou,,,


mais dessa maneira.. ele vai semrpe deixar o IP bloqueado certo..?

posso manter aquele valor em 86400? o que vc recomenda??

valew..

[PiTsA]

deixe como 999999999 para que o IP fique sempre bloqueado....

vlws...!