-
snort + guardian...
pessoal.. instalei o Snort + Guardian conforme o tutorial que tem aqui na underlinux...
esta tudo rodando.. tudo certinho..
so uma duvida que eu tenho..
pelo o que eu entendi.. a variavel HOME_NET tem uqe por os ips da minha rede interna.. pois sao esses IPS que o Snort vai scanear...
mais o que eu percebi nos logs.. é que o guardian e o snort so ficam scaneando tudo o que sae da minha rede interna para a internet.. quando na verdade eu quero ter o IDS protegendo os meus servidores Externos..
ou seja.. euq euro que o snort + guardian apenas fique scaneando e bloqueando os acessos da internet com destino aos meus servidores da DMZ..
como eu faço isso?
como eu poderia testar o guardian.. para ver se realmente ele vai criar a regra no iptables trancando o acesso daquele IP que tentou atacar?
-
snort + guardian...
seguinte... coloque o HOME_NET com a faixa de IPs da sua rede interna,
tipo: 192.168.0.0/24
deixe o EXTERNAL_NET como any
verifique no snort.conf se existe a linha:
#preprocessor portscan: $HOME_NET 4 3 portscan.log
se existir apenas apenas descomente e mude o $HOME_NET para $EXTERNAL_NET ...
caso não exista adicione ela...
veja se existe esta linha, se não coloque ela, e adiciona na frente os ips, ou faixas de IPs a serem ignorados...
preprocessor portscan-ignorehosts: 0.0.0.0
verifique se o guardian esta analisando o arquivo portscan.log, se o endereço para este arquivo esta correto no guardian.conf(AlertFile).
para testar o guardian bloquenado um scan va no console e digite:
$ guardian_block 200.200.200.200 eth0
-
snort + guardian...
ok.. mais no guardian.conf eu ja esta indicado para ele usar o arquvo /var/log/snort/alert como default... e se eu mudar ele para /var/log/snort/portscan.log ele so vai me trancar os hosts que estiverem fazendo port scan certo? e se nao for um port scan ... com o o guardian vai saber.. pois ele so esta monitorando o port scan..
outra coisa... pq o log do Guardian.. so acusa como ... No Action done.
mesmo no /var/log/snort/alert estar logando um monte de coisa que teoricamente ele estaria acusando como um ataque... mais mesmo assim no Guardian nao bloqueia o IP no iptables.. so aparece "No Action done" para tudo o que ele loga...
-
snort + guardian...
olha só..
isso aqui o Guardian fica logando..
Odd.. source = 10.0.0.7, dest = 80.170.168.82. No action done.
um monte de linhas parecidas com essa ae...
eu queria que ele so ficasse analisando os IPS que vem da internet.. mais ele so fica analisando o que sae da minha rede interna para a internet..
como eu mudo isso.. ele teria que analisar somenteo que vem de fora.. para dentro da rede.. mais ele esta fazendo somente o contrario.. o SOURCE sempre é ip interno..
outra coisa.. como eu faço para o snort parar de alertar o que é destinado a rede interna somente?/
tem muita coisa lo log dosnort que fica assim..
[**] [1:1917:4] SCAN UPnP service discover attempt [**]
[Classification: Detection of a Network Scan] [Priority: 3]
03/11-11:26:53.437752 10.0.0.101:3994 -> 10.0.0.205:1900
UDP TTL:128 TOS:0x0 ID:25370 IpLen:20 DgmLen:161
Len: 133
preste atencao que no campo em negrito... e de um IP interno para outro... e mesmo asim o snort fica logando... tem como ele logar apenas o que vier de fora da rede?
-
snort + guardian...
então! ele esta analisando o HOME_NET enquanto deveria analisar o external net...
ja disse o que tem que ser feito:
no snort.conf
HOME_NET 10.0.0.0/24
EXTERNAL_NET any
preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log
preprocessor portscan-ignorehosts: 10.0.0.0/24
certifique-se que no guardian.conf a esteja usando a interface
de rede da internet(eth0/eth1)
e coloque o AlertFile o path do arquivo portscan.log