Ajustes no SNORT
Antes de ajustarmos o guardian precisamos configurar o SNORT corretamente, pois sem ele, o GUARDIAN não é nada.
# Por padrão o SNORT cria 2 arquivos de log, são eles: /var/log/snort/alert
# /var/log/snort/scan
Esses logs não são suficientes para informar ao GUARDIAN quem deve ser bloqueado, então iremos adicionar um terceiro log, edite o /etc/snort/snort.conf e procure pela linha:
#preprocessor portscan: $HOME_NET 4 3 portscan.log
agora descomente a linha retirando o "#", altere a variável $HOME_NET para $EXTERNAL_NET, a linha deve ficar assim:
preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log
O número 4 quer dizer a quantidade de portas, o 3 quer dizer quanto tempo, ou seja, se alguem acessar 4 portas seguidas em menos de 3 segundos isso será encarado como um portscan!!!(Altere como achar melhor)
Agora para diminuir um pouco mais a quantidade de alertas falsos procure pela linha:
#preprocessor portscan-ignorehosts: 0.0.0.0
Novamente descomente a linha de altere o 0.0.0.0 pelo endereço IP do seu servidor
Terminados os ajustes deve-se reinicar o snort.