Instalei o snort e o guardian usando o guia aqui do underlinux, e deu tudo OK. Pelo o q eu entendi, o snort vai analizar o tráfego e colocar os alertas de acordo com as regras em /var/log/snort/alert, e o guardian vai ler esses alertas e através do iptables vai bloquear certo?
Pra fazer um teste eu criei um arquivo ssh.rules para alertar se alguem fizer ssh:
alert tcp any any -> 192.168.2.0/24 22 (msg:"acesso ssh"
entao rodei o snort e o guardian. O iptables esta rodando também. Tudo OK. Fiz um ssh pra uma maquina aqui da rede e consegui. Olhei no log alert do snort e estava lá:
[**] [1:0:0] acesso ssh [**]
[Priority: 0]
01/20-11:39:25.295478 192.168.2.114:35782 -> 192.168.2.60:22
TCP TTL:64 TOS:0x10 ID:19961 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x8EAC6AA5 Ack: 0xBA5AB21D Win: 0x9F4 TcpLen: 32
TCP Options (3) => NOP NOP TS: 2825544 237702578
No guardian.ignore nao botei nenhum ip. O guardian não deveria ter bloqueado esse acesso? Ou não é assim que funciona o guardian? Alguém pode me ajudar?
-
20-01-2006, 11:44 #1jotacekmVisitante
duvida sobre snort+guardian
-
20-01-2006, 15:35 #2dersonVisitante deny hosts
Esses dias atras eu olhei meu syslog e vi q tinha uns quatro ips tentando acessar com o force brute.Dae eu instalei o Deny Hosts ele funciona muito bem ele le o meu log de 30 em 30 segundos e se alguem tiver tentando algum acesso no sshd com mais de 5 tentativas invalidas ele bloqueia o ip.
Qualquer duvida me da um toque .
espero ter sido util
-
20-01-2006, 23:58 #3jotacekmVisitante duvida sobre snort+guardian
valeu cara, mas eu queria primeiro tentar com esse guardian, se nao der eu tento com esse ai
-
22-01-2006, 22:19 #4jotacekmVisitante duvida sobre snort+guardian
ninguem ae entende de guardian?...
-
23-01-2006, 08:03 #5 duvida sobre snort+guardian
o guardian não entra em ação com qualquer alerta, ele vai criar uma regra de iptables para bloquear alguem que tente rodar um portscan na sua máquina
-
23-01-2006, 08:23 #6jotacekmVisitante duvida sobre snort+guardian
ah ta...
Postado originalmente por 1c3_m4n
É so pra portscan entao? E tanto faz se for nmap ou nessus ou seja la o q for?
e outra coisa, no guardian.ignore eu tenho q botar 1 ip por linha, ou posso botar pra ignorar minha rede interna como 192.168.2.0/24 ?
Citação
