Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    jotacekm
    Instalei o snort e o guardian usando o guia aqui do underlinux, e deu tudo OK. Pelo o q eu entendi, o snort vai analizar o tráfego e colocar os alertas de acordo com as regras em /var/log/snort/alert, e o guardian vai ler esses alertas e através do iptables vai bloquear certo?

    Pra fazer um teste eu criei um arquivo ssh.rules para alertar se alguem fizer ssh:
    alert tcp any any -> 192.168.2.0/24 22 (msg:"acesso ssh"

    entao rodei o snort e o guardian. O iptables esta rodando também. Tudo OK. Fiz um ssh pra uma maquina aqui da rede e consegui. Olhei no log alert do snort e estava lá:

    [**] [1:0:0] acesso ssh [**]
    [Priority: 0]
    01/20-11:39:25.295478 192.168.2.114:35782 -> 192.168.2.60:22
    TCP TTL:64 TOS:0x10 ID:19961 IpLen:20 DgmLen:52 DF
    ***A**** Seq: 0x8EAC6AA5 Ack: 0xBA5AB21D Win: 0x9F4 TcpLen: 32
    TCP Options (3) => NOP NOP TS: 2825544 237702578


    No guardian.ignore nao botei nenhum ip. O guardian não deveria ter bloqueado esse acesso? Ou não é assim que funciona o guardian? Alguém pode me ajudar?

  2. #2
    derson
    Esses dias atras eu olhei meu syslog e vi q tinha uns quatro ips tentando acessar com o force brute.Dae eu instalei o Deny Hosts ele funciona muito bem ele le o meu log de 30 em 30 segundos e se alguem tiver tentando algum acesso no sshd com mais de 5 tentativas invalidas ele bloqueia o ip.
    Qualquer duvida me da um toque .
    espero ter sido util



  3. #3
    jotacekm
    valeu cara, mas eu queria primeiro tentar com esse guardian, se nao der eu tento com esse ai

  4. #4
    jotacekm
    ninguem ae entende de guardian?...



  5. o guardian não entra em ação com qualquer alerta, ele vai criar uma regra de iptables para bloquear alguem que tente rodar um portscan na sua máquina






Tópicos Similares

  1. IDS Snort + Guardian - Duvida Bloqueio em outras maquinas
    Por vitormonteiro no fórum Segurança
    Respostas: 3
    Último Post: 12-07-2007, 08:56
  2. Duvidas sobre o squid
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 27-11-2002, 11:11
  3. Duvidas sobre Log access.log do SQUID !!!
    Por Danielvb no fórum Servidores de Rede
    Respostas: 2
    Último Post: 23-11-2002, 15:46
  4. duvida sobre o syslog
    Por augustolynx no fórum Servidores de Rede
    Respostas: 1
    Último Post: 29-10-2002, 07:50
  5. DUVIDA, SOBRE DYNAMIC DNS NO APACHE ???
    Por _Luigi_ no fórum Servidores de Rede
    Respostas: 4
    Último Post: 13-10-2002, 08:07

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L