SNORT+GUARDIAN FUNCIONANDO? [RESOLVIDO]

XxPoWeReDxX
(usa Ubuntu)

Enviado em 18/04/2012 - 15:42h

Gente eu configurei e instalei o SNORT + Guardian + Barnyard2 , porem nao sei se esta funcionando corretamente, fiz um teste com pacotes TCP, o SNORT axou os pacotes que eu estava enviando e deu a seguinte mensagem - "Limit on number of overlapping TCP packets reached" , mas eu nao sei se o Guardian entro em ação, é assim mesmo? ou falta mais alguma configuração?

XxPoWeReDxX
(usa Ubuntu)

Enviado em 18/04/2012 - 18:41h

Por Favor Alguem?

XxPoWeReDxX
(usa Ubuntu)

Enviado em 18/04/2012 - 22:06h

UP!

removido
(usa Nenhuma)

Enviado em 18/04/2012 - 22:43h

Cara, nunca usei o guardian mas o snort conheço um pouquinho.
A ferramenta que uso como HIDS é o OSSEC, muito bom. Ele verifica os logs e cria regras no iptables automaticamente.
Quanto ao snort para ver se está funcionando direito você pode verificar se o serviço está rodando com o comando:


Se sim, pegue uma máquina na rede e faça uma varredura com o nmap por exemplo:


Ah, deixe na máquina o log aberto com o comando:


Verá o log em tempo real.

removido
(usa Nenhuma)

Enviado em 18/04/2012 - 22:54h

Li um pouco aqui sobre o Guardian, ele fica olhando esse log do Snort, e quando o Snort registra um
evento de nível 2, o guardian cria uma regra de Iptables bloqueando o IP do suposto invasor por um determinado tempo, tempo esse que pode ser configurado.

Faça uma varredura bruta na rede e siga os passos abaixo:
Bom para saber se ele entrou em ação pode executar o comando do iptables que verifica as regras aplicadas


E também verificar os logs do guardian enquanto faz os ataques na rede.



Espero que ajude em algo, também sou leigo no assunto.

Abs

XxPoWeReDxX
(usa Ubuntu)

Enviado em 18/04/2012 - 22:59h

OPA, obrigado pela sua ajuda, pelo geito esta tudo funcionando certinho amigo, so uma duvida, eu mandei o comando:

tail -f /var/log/guaridan.log

é deu isso:

tail: cannot open `/var/log/guaridan.log' for reading: No such file or directory

o que podria ser?

removido
(usa Nenhuma)

Enviado em 18/04/2012 - 23:01h

Provavelmente seu arquivo de log do guardian não está nesse caminho.
Verifique dentro do /var/log/ se encontra algo parecido
Ah, mas deu o comando com que usuário? Tem que ser como root ok?

XxPoWeReDxX
(usa Ubuntu)

Enviado em 18/04/2012 - 23:03h

Estranho porque esta sim olhe:

root@root:/var/log/snort# ls
guardian.log snort.log.1334739835 snort.log.1334773672 tcpdump.log.1334730300
snort.log.1334735254 snort.log.1334739972 snort.log.1334773807 tcpdump.log.1334730350
snort.log.1334735366 snort.log.1334740003 snort.log.1334773833 tcpdump.log.1334730413
snort.log.1334735608 snort.log.1334740027 snort.log.1334774216 tcpdump.log.1334730432
snort.log.1334738253 snort.log.1334740122 snort.log.1334774236 tcpdump.log.1334731796
snort.log.1334738905 snort.log.1334740172 snort.log.1334775121 tcpdump.log.1334731823
snort.log.1334739566 snort.log.1334765293 snort.log.1334800036 tcpdump.log.1334732987
snort.log.1334739621 snort.log.1334765353 snort.log.1334800109 tcpdump.log.1334733704
snort.log.1334739657 snort.log.1334773233 snort.u2.1334772883 tcpdump.log.1334734160
snort.log.1334739805 snort.log.1334773542 snort.u2.1334772899
root@root:/var/log/snort# tail -f /var/log/snort/guaridan.log
tail: cannot open `/var/log/snort/guaridan.log' for reading: No such file or directory
root@root:/var/log/snort#

\õ?

removido
(usa Nenhuma)

Enviado em 18/04/2012 - 23:07h

Veja no arquivo de configuração do guardian (guardian.conf) onde ele está gravando os logs.
O parâmetro é o "LogFile" que deve ter o caminho completo para o log.

XxPoWeReDxX
(usa Ubuntu)

Enviado em 18/04/2012 - 23:30h

OPA, deu certinho amigo, so mais uma duvida e normal o snort gerar varios arquivos assim por ex:
snort.log.1334735254
snort.log.1334735256
snort.log.1334735257... em diante? nao era para ele gerar so 1 arquivo de log sendo ele: snort.log?

removido
(usa Nenhuma)

Enviado em 19/04/2012 - 10:41h

Acredito que ele faça isso para o arquivo não ficar muito grande e facilitar a visualização.
Nada para se preocupar.

ivan arrais
(usa Debian)

Enviado em 04/11/2012 - 13:36h

E ai galera, estou com muita duvida em relação a interpretação dos logs, por exemplo, tudo esta funcionando corretamente da mesma forma que as publicações a cima, mas como que eu faço para fazer a leitura dos arguivo snort.log.1351882681, snort.log.13518826455 ..., quando eu abro o arquivo, aparece todas as informações criptografadas...

Por favor, me ajudem!!!
Desde jah, muito obrigado!!!

Att;
Ivan Arrais