Curioso Sênior
Pessoal,
Este final de semana coloquei em produção um Linux com IPTABLES e Snort funcionando, até aí tudo bem.
Depois coloquei o "Guardian" para fazer bloqueio automático.
PROBLEMA:
===============
O Snort está "logando" os alertas no /var/log/snort/alert com sucesso para os "ataques" na interface eth0 (externa) do firewall, também para a interface interna eth1 e todas as máquinas dentro da rede interna também. PORÉM o Guardian só está bloqueando os ataques à interface EXTERNA do FIREWALL e está ignorando os alertas de port scan para o resto das máquinas.
EIS a Topologia: (ips fictícios)
===============
maquina#1 (200.133.33.34)
(INTERNET) --> eth0 (200.122.22.22) --> eth1 (200.133.33.33) --> maquina#2 (200.133.33.35)
maquina#3 (200.133.33.36)
O roteamento está sendo feito pelo IPTABLES na chain "FORWARD" da rede 200.22.22.22 para a rede 200.133.33.33 de modo bi-direcional.
Quando faço uma simulação, os SCANs para qualquer IP depois da eth1 do firewall apesar de LOGADOS no LOG do snort não são bloqueados pelo Guardian. Apenas os SCANs para a eth0 do Firewall é bloqueado.
Agradeço desde já pela força,
Galeno
"COBIT isn't a four letter word"
#ATDT*
Dá uma verificada no guardian.conf
Lá tem uma diretriz
não creio q ele esteja preparado para trabalhar em múltiplas interfaces. fui confirmar no site do guardian mas ele está down.Interface eth0
Creio que esse guardian não passe de um perl parser dos logs do SNORT. Minha sugestão:
Avalie a questão de performance no caso de rodar um perl para cada interface. chame um de guardian-eth0.pl e outro de guardian-eth1.pl
use /etc/guardian-eth0.conf e /etc/guardian-eth1.conf por exemplo.
q tal?
---
MATARAM KENNEDY, CERTO? VEJAM SEU
DISCURSO ACERCA DE SOCIEDADES SECRETAS
- - http://youtu.be/RfeFSzB8mqw --
---
MELHOR DISCURSO QUE JÁ VI, CHARLIE CHAPLIN
http://www.youtube.com/watch?v=sGpCds0e-kg
(HQ) http://www.redhat.com/v/magazine/ogg/truthhappens.ogg
Curioso Sênior
Vou testar isso JAH!! Passo os resultados em alguns minutos.
Obrigado.
"COBIT isn't a four letter word"
Curioso Sênior
Guzpido Krush,
Não era isso mais achei o problema no mesmo caminho apesar de não ter relação abri o código e consegui depurar o código.
Tem um parâmetro no guardian.conf que se refere ao ultimo octeto da rede, achei que era pra por os bits da rede mais na verdade ele queria o final do ip mesmo, deslize meu, agora tá funcionando.
Obrigado pela luz.
Tenha um bom dia.
"COBIT isn't a four letter word"
#ATDT*
Opa que beleza galenonogarbe
como diz o grande ditado:
:DUSE THE SOURCE, LUKE!
---
MATARAM KENNEDY, CERTO? VEJAM SEU
DISCURSO ACERCA DE SOCIEDADES SECRETAS
- - http://youtu.be/RfeFSzB8mqw --
---
MELHOR DISCURSO QUE JÁ VI, CHARLIE CHAPLIN
http://www.youtube.com/watch?v=sGpCds0e-kg
(HQ) http://www.redhat.com/v/magazine/ogg/truthhappens.ogg
There are currently 1 users browsing this thread. (0 members and 1 guests)
Regras de envio
Responder com citação