+ Responder ao Tópico



  1. #1
    jotacekm
    Visitante

    Padrão duvida sobre snort+guardian

    Instalei o snort e o guardian usando o guia aqui do underlinux, e deu tudo OK. Pelo o q eu entendi, o snort vai analizar o tráfego e colocar os alertas de acordo com as regras em /var/log/snort/alert, e o guardian vai ler esses alertas e através do iptables vai bloquear certo?

    Pra fazer um teste eu criei um arquivo ssh.rules para alertar se alguem fizer ssh:
    alert tcp any any -> 192.168.2.0/24 22 (msg:"acesso ssh"

    entao rodei o snort e o guardian. O iptables esta rodando também. Tudo OK. Fiz um ssh pra uma maquina aqui da rede e consegui. Olhei no log alert do snort e estava lá:

    [**] [1:0:0] acesso ssh [**]
    [Priority: 0]
    01/20-11:39:25.295478 192.168.2.114:35782 -> 192.168.2.60:22
    TCP TTL:64 TOS:0x10 ID:19961 IpLen:20 DgmLen:52 DF
    ***A**** Seq: 0x8EAC6AA5 Ack: 0xBA5AB21D Win: 0x9F4 TcpLen: 32
    TCP Options (3) => NOP NOP TS: 2825544 237702578


    No guardian.ignore nao botei nenhum ip. O guardian não deveria ter bloqueado esse acesso? Ou não é assim que funciona o guardian? Alguém pode me ajudar?

  2. #2
    derson
    Visitante

    Padrão deny hosts

    Esses dias atras eu olhei meu syslog e vi q tinha uns quatro ips tentando acessar com o force brute.Dae eu instalei o Deny Hosts ele funciona muito bem ele le o meu log de 30 em 30 segundos e se alguem tiver tentando algum acesso no sshd com mais de 5 tentativas invalidas ele bloqueia o ip.
    Qualquer duvida me da um toque .
    espero ter sido util



  3. #3
    jotacekm
    Visitante

    Padrão duvida sobre snort+guardian

    valeu cara, mas eu queria primeiro tentar com esse guardian, se nao der eu tento com esse ai

  4. #4
    jotacekm
    Visitante

    Padrão duvida sobre snort+guardian

    ninguem ae entende de guardian?...



  5. #5

    Padrão duvida sobre snort+guardian

    o guardian não entra em ação com qualquer alerta, ele vai criar uma regra de iptables para bloquear alguem que tente rodar um portscan na sua máquina

  6. #6
    jotacekm
    Visitante

    Padrão duvida sobre snort+guardian

    Citação Postado originalmente por 1c3_m4n
    o guardian não entra em ação com qualquer alerta, ele vai criar uma regra de iptables para bloquear alguem que tente rodar um portscan na sua máquina
    ah ta...
    É so pra portscan entao? E tanto faz se for nmap ou nessus ou seja la o q for?

    e outra coisa, no guardian.ignore eu tenho q botar 1 ip por linha, ou posso botar pra ignorar minha rede interna como 192.168.2.0/24 ?