ERRO NO HLBR

1. ERRO NO HLBR

Thiago
thiago_th

(usa Red Hat)

Enviado em 06/05/2013 - 10:45h

Bom dia,

Sei que esta sessão é voltada ao SNORT, mas não achei uma sessão onde criar este tópico sobre problemas no HLBR.

Antes de tudo, irei decrever o meu cenário:

Utilizo um servidor proxy rodando com o OpenSuse 11.4. Utilizo Regras firewall/iptables, squid 2.7 stable e squigGuard. Neste servidor possuo 2 placas de rede: a eth0 faz comunicação com a internet e a eth1 com a rede interna.
Recentemente decidi implementar a segurança da minha rede com o HLBR. Baixei os pacotes, instalei e configurei tudo corretamente. Ao iniciar o HLBR, ele carrega todas as 119 regras default e lê corretamente os arquivos de configuração. O problema é que sempre que qualquer micro da rede acessa um site, aparece a seguinte mensagem durante a execução do HLBR (Executei ele diretamente no console justamente para verificar se está funcionando corretamente):

FAILED TO WRITE PACKET TO INTERFACE ETH0
FAILED TO WRITE PACKET TO INTERFACE ETH1

Tentei simular ataques para ver se ele estava detectando os ataques, e constatei que não está.

O que pode estar errado? Será alguma permissão? Algum arquivo ausente? Versão do Kernel?

Desde já, agradeço pela ajuda de todos!

Segue meu arquivo de configuração do HLBR:

-----------------------------------------------

#SESSÃO DE CONF. GERAL
<system>
Name=ServerProxy
ID=1
Threads=1
AlertHeader=%ac %d/%m/%y %h:%min:%s %sip:%sp->%dip:%dp
PidFile=/var/run/hlbr.pid
</system>

#SESSÃO INTERFACES
<interface eth0>
Type=linux_raw
Proto=Ethernet
</interface>

<interface eth1>
Type=linux_raw
Proto=Ethernet
</interface>

#SESSÃO IPLISTS
<IPList www>
192.168.1.15 #É O ENDEREÇO DA PLACA ETH1
</list>

<IPList dns>
AQUI COLOQUEI OS ENDEREÇOS DO DNS DO MEU PROVEDOR DE INTERNET
</list>

<IPList rede_interna>
192.168.1.0/24
</list>

<IPList email>
AQUI COLOQUEI O ENDEREÇO DO MEU SERVIDOR DE EMAIL
</list>

<IPList firewall>
192.168.1.15
</list>

<IPList gateway>
AQUI COLOQUEI O ENDEREÇO DO MEU GATEWAY DE INTERNET
</list>

<IPList servers>
www
dns
email
firewall
gateway
</list>

#SESSÃO ACTIONS
<action action1>
response=alert file(/var/log/hlbr/hlbr.log)
response=dump packet(/var/log/hlbr/hlbr.dump)
response=drop
</action>

<action action2>
response=alert file(/var/log/hlbr/hlbr-2.log)
response=dump packet(/var/log/hlbr/hlbr-2.dump)
</action>

<action virus>
response=alert file(/var/log/hlbr/virus.log)
response=dump packet(/var/log/hlbr/virus.dump)
response=drop
</action>

#SESSÃO ROUTING
<routing>
SBridge(eth0, eth1)
</routing>

#SESSÃO DECODER
<decoder http>
OPTIONS,GET,HEAD,POST
</decoder>

-------------------------------------------------------


  






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts