+ Responder ao Tópico



  1. #1

    Padrão snort + guardian!

    bom dia a todos.

    bom pessoal, como eu tinha dito no outro topico, o meu snort ta funcionando tudo ok, então resolvi instalar o guardian, fazia muito que não instalava, mas já instalei e já ta rodando...

    minhas duvida eh o seguinte, o guardian só roda com usuario root?
    e outra, dei um nmap para meu servidor, para testar o guardian, depois dei iptables -L -v, não vi nem uma regra que o guardian adiciono, como posso saber se ele ta rodando e funcionando blzinha?

    meu guardian.conf

    Interface ppp0

    # The last octet of the ip address, which gives us the gateway address.
    HostGatewayByte 1

    # Guardian's log file
    LogFile /var/log/guardian.log

    # Snort's alert file. This can be the snort.alert file, or a syslog file
    # There might be some snort alerts that get logged to syslog which guardian
    # might not see..
    AlertFile /var/log/snort/portscan.log

    # The list of ip addresses to ignore
    IgnoreFile /etc/guardian.ignore

    # The time in seconds to keep a host blocked. If undefined, it defaults to
    # 99999999, which basicly disables the feature.
    TimeLimit 99999999

    agora meu guardian_block.sh



    source=$1
    interface=$2
    [email protected]
    log=/tmp/tmp_$1
    mail_cmd=/bin/mail

    /usr/sbin/iptables -I INPUT -s $source -i $interface -j DROP
    echo "O IP: $1 foi bloqueado" > $log
    $mail_cmd -s "ALERTA" $admin < $log
    rm -f $log
    alterei isso de acordo com um howto do ice
    e to dando start no guardian com o comando
    guardian.pl -c /etc/guardian.conf

    oq eu to fazendo de errado?

  2. #2

    Padrão snort + guardian!

    entaum eh o seguinte no guardian:

    se vc seguiu meu artigo ele soh vai bloquear portscan, os outros ataques não (arquivo portscan.log)

    ele soh roda como root pq depende do iptables....

    e como vc colocou no ignore do guardian tua maquina, ele não vai tentar te bloquear nunca, o certo eh vc pegar uma máquina de fora da tua rede e rodar um portscan

    da uma busca ai na net que da pra fazer portscan por alguns sites, ai vc vai conseguir testar

  3. #3

    Padrão snort + guardian!

    Citação Postado originalmente por 1c3_m4n
    entaum eh o seguinte no guardian:

    se vc seguiu meu artigo ele soh vai bloquear portscan, os outros ataques não (arquivo portscan.log)

    ele soh roda como root pq depende do iptables....

    e como vc colocou no ignore do guardian tua maquina, ele não vai tentar te bloquear nunca, o certo eh vc pegar uma máquina de fora da tua rede e rodar um portscan

    da uma busca ai na net que da pra fazer portscan por alguns sites, ai vc vai conseguir testar
    foi isso que eu fiz ice, eu fui pro outro servidor meu fora da minha rede, e danei um nmap. o snort acuso o ip na hora desse meu servidor, no q o guardian n bloquiou esse ip :/

  4. #4

    Padrão snort + guardian!

    Eh pro guardian pegar esse arquivo:
    AlertFile /var/log/snort/portscan.log

    se o snort estiver gravando ele em outro da pau mesmo,

    alias como ta seu guardian.ignore

  5. #5

    Padrão snort + guardian!

    Citação Postado originalmente por 1c3_m4n
    Eh pro guardian pegar esse arquivo:
    AlertFile /var/log/snort/portscan.log

    se o snort estiver gravando ele em outro da pau mesmo,

    alias como ta seu guardian.ignore

    o snort ta acusando no portscan.log mesmo

    meu ignore ta assim

    127.0.0.1
    192.168.1.0/24
    vou restartar o guardian e o snort de novo pra testar!!

  6. #6

    Padrão snort + guardian!

    quando starto o guardian aparece

    OS shows Linux
    Warning! HostIpAddr is undefined! Attempting to guess..
    Got it.. your HostIpAddr is 200.*.*.*
    My ip address and interface are: 200.*.*.* ppp0
    Loaded 2 addresses from /etc/guardian.ignore
    Becoming a daemon..

    não to entendo pq n ta funcionando esse diaxo!!

  7. #7

    Padrão snort + guardian!

    hmmmm eh o problema de vc ter ip dinamico.....

    precisa dar um jeito dele ler o ip atraves do dominio do no-ip que vc crio

  8. #8

    Padrão snort + guardian!

    Citação Postado originalmente por 1c3_m4n
    hmmmm eh o problema de vc ter ip dinamico.....

    precisa dar um jeito dele ler o ip atraves do dominio do no-ip que vc crio
    falto olhar ow /var/log/guardian.log
    Fri Apr 8 09:13:16 2005: 200.217.*.*
    Running '/usr/local/bin/guardian_block.sh 200.217.*.* ppp0'
    Fri Apr 8 09:13:16 2005: 200.217.*.*
    Fri Apr 8 09:13:16 2005: 200.217.*.*
    Fri Apr 8 09:13:16 2005: 200.217.*.*
    Fri Apr 8 09:13:16 2005: 200.217.*.*
    ou seja, o guardian ta funcionano, pq ele n ta conseguindo adicionar a regra ?

    AAA

  9. #9

    Padrão snort + guardian!

    tenta executar o guardian_block.sh na mao passando o ip dp server e o ip do ataque pra ver oq acontece

  10. #10

    Padrão snort + guardian!

    Citação Postado originalmente por 1c3_m4n
    tenta executar o guardian_block.sh na mao passando o ip dp server e o ip do ataque pra ver oq acontece

    vlw ice, agora ta tudo funcionando blz, eu fiz q vc falou, o caminho do iptables tava errado,


    vlw mano brigadao

  11. #11

    Padrão snort + guardian!

    ice? tem como eu usar o postfix q tar em outro servidor da minha rede pra enviar um e-mail se algum ip for bloquiado?

  12. #12

    Padrão snort + guardian!

    esquece, ja reconfigurei o exim, ta tudo ok, falow obrigado de novo ae ice

    fui