+ Responder ao Tópico



  1. #1
    jotacekm
    Visitante

    Padrão ajuda com guardian

    Ae, ja procurei em vários lugares mas não consegui achar resposta pra essa dúvida...

    Qual o critério q o guardian usa pra bloquear os alertas do snort? Pois alguns ele bloqueia, outros nao.
    Se eu criar uma regra no snort, como faço pro guardian bloquear ela?
    Existe algum lugar com uma documentação sobre guardian?
    valeu

  2. #2

    Padrão Re: ajuda com guardian

    Ateh a ultima vez que utilizei o guardian soh bloqueia portscans, lah no snort vc configura qual sera o log de portscan e a partir dai o guardian bloqueia, acho que se vc alterar o snort pra gravar os logs num lugar soh e configurar o guardian pra ler esse log ele deve bloquear o resto tb, mas isso eh arriscado d+ pq o snort acaba detectando muita coisa que nao eh nda como ataque, ai vc pode acabar bloqueando o que nao deve



  3. #3
    jotacekm
    Visitante

    Padrão Re: ajuda com guardian

    Citação Postado originalmente por 1c3_m4n
    Ateh a ultima vez que utilizei o guardian soh bloqueia portscans, lah no snort vc configura qual sera o log de portscan e a partir dai o guardian bloqueia, acho que se vc alterar o snort pra gravar os logs num lugar soh e configurar o guardian pra ler esse log ele deve bloquear o resto tb, mas isso eh arriscado d+ pq o snort acaba detectando muita coisa que nao eh nda como ataque, ai vc pode acabar bloqueando o que nao deve
    to ligado... nas minhas buscas eu vi o seu tutorial q fala disso (em uns 10 sites diferentes :-D) Mas como vc falou se ele bloquear todos os alertas, aqui seria suicidio, pois ja vi nos logs q ele gera muitos alertas...
    Eu vi q o guardian tb bloqueia brute force, pq eu testei com um aqui TFTP bruteforce e o guardian bloqueou tb.
    Eu queria mesmo eh saber qual o criterio q ele usa pra bloquear... Vou dar uma olhada no guardian.pl e ve se acho alguma luz

  4. #4

    Padrão Re: ajuda com guardian

    eh talvez de pra alterar o metodo que ele usa pra bloquear, mas pelo que sei, ele bloqueia qq coisa que aparecer no log que vc configurou pra ele ler