Forum Debian Users Gang

Jacekalex napisał(-a):

A w logach snorta i guardiana nic na ten temat?

- /var/log/messages - nic ciekawego nie pokazuje,
- /var/log/snort/guardian.log - info o uruchomieniu guardiana...
- /var/log/snort/ - jakieś stare logi...

Jacekalex napisał(-a):

Dopisz sobie polecenia do block.sh i unblock.sh - to skrypty powłoki, polecenia -  które będą zapisywały log odpalania tych skryptów.

W tej chwili wyglądają owe pliki tak:

# cat guardian_unblock.sh
#!/bin/sh
# this is a sample unblock script for guardian. This should work with ipchains.
# This command gets called by guardian as such:
# unblock.sh
# and the script will issue a command to remove the block that was created with # block.sh address.
source=$1
interface=$2
firewall_ip="192.168.1.104"
iptables -D INPUT -s $source -i $interface -j DROP
iptables -D FORWARD -s $source -i $interface -j DROP
echo "$source is blocked for 24 hours! It is released!" | mail -s "Snort alert is released" moj_mail@poczta.pl

echo "guardian_unblock.sh started...." >> /var/log/snort/guardian.log

# cat guardian_block.sh
#!/bin/sh
# this is a sample block script for guardian. This should work with ipchains.
# This command gets called by guardian as such:
# guardian_block.sh
# and the script will issue a command to block all traffic from that source ip
# address. The logic of weither or not it is safe to block that address is
# done inside guardian itself.
source=$1
interface=$2
firewall_ip="192.168.1.104"
iptables -I INPUT -s $source -i $interface -j DROP
iptables -I FORWARD -s $source -i $interface -j DROP
echo "$source is blocked!" | mail -s "Snort alert is blocked" moj_mail@poczta.pl

echo "guardian_block.sh started...." >> /var/log/snort/guardian.log

Jacekalex napisał(-a):

Poza tym:

guardian.pl -d -c /etc/guardian.conf
OS shows Linux
My ip address and interface are: XXX:XXX:XX:XX eth0
Loaded 5 addresses from /etc/snort/guardian.ignore
Running in debug mode..

Nic się nie dzieje, jak poniżej (może być na IP wew?)

# guardian.pl -d -c /etc/snort/guardian.conf
OS shows Linux
Warning! HostIpAddr is undefined! Attempting to guess..
Got it.. your HostIpAddr is 192.168.1.104
My ip address and interface are: 192.168.1.104 eth0
Loaded 0 addresses from /etc/snort/guardian.ignore
Loaded 1 addresses from /etc/snort/guardian.target
Running in debug mode..

Mój plik konfiguracyjny:

# cat /etc/snort/guardian.conf 
# The machines IP address that is visable to the internet
# If this is left undefined, then guardian will attempt to get the information
# from ifconfig, as long as it has an interface to use. This would be useful
# for people on ppp links, or dhcp machines, or if you are lazy :)

#HostIpAddr      
Interface       eth0
HostGatewayByte  75
LogFile         /var/log/snort/guardian.log
AlertFile       /var/log/messages
IgnoreFile      /etc/snort/guardian.ignore
TimeLimit    86400

No i w guardian.target podałem swój adres IP: 192.168.1.104 (maszyny ze Snortem).

Jacekalex napisał(-a):

I zainteresuj się też snortsamem - jest ciekawszym narządziem, choć wymaga nałożenia patcha na snorta (kompilacja).

Pamiętam gdy o nim pisałeś, jednak na razie skupię się na guardianie (prościej).

Ostatnio edytowany przez kondzio14 (2011-05-14 15:30:34)

Jacekalex napisał(-a):

A która wersja snorta?
Bo być może źle to parsuje.

ii  snort-mysql           2.8.5.2-8             flexible Network Intrusion Detection System [MySQL]
A guardian ostatni, 1.7.

Jacekalex napisał(-a):

Poza tym pokaż wynik

Kod:

grep -i snort /var/log/messages |wc -l

i tak samo z syslogiem.
Bo o ile się nie mylę, w Debianie logi snorta trafiają nie do messages, tylko do sysloga.
Dodatkowo, czy w konfigu snorta masz ustawione logowanie do sysloga?

Jak poniżej:

# grep -i snort /var/log/messages |wc -l
0
# grep -i snort /var/log/syslog |wc -l
0

Odznaczone mam: output alert_syslog: LOG_AUTH LOG_ALERT

Jacekalex napisał(-a):

Pokaż wynik

Kod:

grep syslog /etc/snort/snort.conf

Bo mnie coś tu pachnie kłopotami z konfigiem sysloga, zeby logi były tam, gdzie powinny.

U mnie:

Kod:

grep syslog /etc/snort/snort.conf
# syslog
output alert_syslog: LOG_AUTH LOG_ALERT

Kod:

egrep -i 'auth|alert' /etc/rsyslog.conf | grep -v '#'
authpriv.*                                              /var/log/secure
*.*;auth,authpriv.none                                 -/var/log/syslog

To by było na tyle
;-)

Moje dane:

# grep syslog /etc/snort/snort.conf
#       used to tune alerts from very active hosts such as syslog servers, etc.
# alert_syslog: log alerts to syslog
# Use one or more syslog facilities as arguments.  Win32 can also optionally
# output alert_syslog: LOG_AUTH LOG_ALERT
output alert_syslog: LOG_AUTH LOG_ALERT
# output alert_syslog: host=hostname, LOG_AUTH LOG_ALERT
# output alert_syslog: host=hostname:port, LOG_AUTH LOG_ALERT
# This example will create a rule type that will log to syslog and a mysql
#   output alert_syslog: LOG_AUTH LOG_ALERT

# egrep -i 'auth|alert' /etc/rsyslog.conf | grep -v '#'
auth,authpriv.*            /var/log/auth.log
*.*;auth,authpriv.none        -/var/log/syslog
    auth,authpriv.none;\
    auth,authpriv.none;\

Snorta uruchamiam w ten sposób:

# snort -u snort -g snort -dev -h 192.168.1.104/32 -d -D -i eth0 -b -c /etc/snort/snort.conf

Hmm.. no wyjaśniła i nie do końca. W ogóle to zacząłem się zastanawiać czy mam sysloga zainstalowanego, bowiem nie miałem pliku /etc/syslog.conf. To co wykonałem:

Następujące NOWE pakiety zostaną zainstalowane:
  klogd{a} sysklogd
Następujące pakiety zostaną USUNIĘTE:
  rsyslog{a} rsyslog-mysql{a}

I plik konfiguracyjny się pojawił, mam nadzieję, że niczego złego nie zrobiłem ;).
W każdym razie niczego to nie zmieniło...

Jakie zatem są możliwe rozwiązania?
Wysyłanie info na sysloga na zdalnego hosta (uciążliwe) lub zainstalowanie starszego Snorta (też uciążliwe)?

Ostatnio edytowany przez kondzio14 (2011-05-14 17:25:44)

Dzięki za odp.

Tak na marginesie pytając, czy zestaw reguł dostarczony wraz z instalacją Snorta jest wystarczający do tego aby oprzeć na nim politykę bezpieczeństwa sieci? Wiem, że Snort jest dodatkiem do bezpieczeństwa, ale chodzi mi teraz o same reguły...

Rzecz w tym, że korzystam obecnie z:

include $RULE_PATH/local.rules
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/community-exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
include $RULE_PATH/rpc.rules
include $RULE_PATH/rservices.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/community-dos.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/dns.rules
include $RULE_PATH/tftp.rules

# Specific web server rules:
include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-coldfusion.rules
include $RULE_PATH/web-iis.rules
include $RULE_PATH/web-frontpage.rules
include $RULE_PATH/web-misc.rules
include $RULE_PATH/web-client.rules
include $RULE_PATH/web-php.rules
include $RULE_PATH/community-sql-injection.rules
include $RULE_PATH/community-web-client.rules
include $RULE_PATH/community-web-dos.rules
include $RULE_PATH/community-web-iis.rules
include $RULE_PATH/community-web-misc.rules
include $RULE_PATH/community-web-php.rules

# Rules for other services:
include $RULE_PATH/sql.rules
include $RULE_PATH/x11.rules
include $RULE_PATH/icmp.rules
include $RULE_PATH/netbios.rules
include $RULE_PATH/misc.rules
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/oracle.rules
include $RULE_PATH/community-oracle.rules
include $RULE_PATH/mysql.rules
include $RULE_PATH/snmp.rules
include $RULE_PATH/community-ftp.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/community-smtp.rules
include $RULE_PATH/imap.rules
include $RULE_PATH/community-imap.rules
include $RULE_PATH/pop2.rules
include $RULE_PATH/pop3.rules

include $RULE_PATH/nntp.rules
include $RULE_PATH/community-nntp.rules
include $RULE_PATH/community-sip.rules
include $RULE_PATH/other-ids.rules

# Attack-in-progress rules:
include $RULE_PATH/web-attacks.rules
include $RULE_PATH/backdoor.rules
include $RULE_PATH/community-bot.rules
###### include $RULE_PATH/community-virus.rules
# This ruleset is almost useless currently:
# include $RULE_PATH/virus.rules
# Note: this rule is extremely chatty, enable with care
# include $RULE_PATH/shellcode.rules

# Policy related rules:                 #cale policy bylo wylaczone
include $RULE_PATH/policy.rules
include $RULE_PATH/community-policy.rules
include $RULE_PATH/porn.rules
include $RULE_PATH/community-inappropriate.rules
include $RULE_PATH/chat.rules
include $RULE_PATH/multimedia.rules
include $RULE_PATH/p2p.rules
include $RULE_PATH/community-game.rules
include $RULE_PATH/community-misc.rules

# Extremely chatty rules:                #cale chatty bylo wylaczone
include $RULE_PATH/info.rules
include $RULE_PATH/icmp-info.rules
include $RULE_PATH/community-icmp.rules

# Experimental rules:
# NOTICE: this is currently empty
include $RULE_PATH/experimental.rules

# include $PREPROC_RULE_PATH/preprocessor.rules
# include $PREPROC_RULE_PATH/decoder.rules

Dużo tego i zastanawiam się czy jestem w stanie ponadto sam coś dopisać, czy średni ma to sens? Celowo cytat umieściłem wraz z komentarzami aby było widać z czego nie korzystam, a jest dostępne...

Bo zaraz się okaże, że Snort jest zupełnie do d*py ;)

A tak swoją drogą Snort mi zarejestruje co się dzieje i fajnie. Jeśli działa na przykład wraz z Guardianem to potrafi zablokować jakiegoś delikwenta, który przykładowo skanuje porty - wszystko ok. Tylko zastanawia mnie czy jeśli iptables jest dobrze skonfigurowany to czy taki Guardian ma jakikolwiek sens? Co nowego wnosi?

Być może to pytanie wynika z mojej niewiedzy odnośnie iptables, ale proszę o odpowiedź.

@EDIT
No taki ma sens, że atak będzie przeprowadzany z wewnątrz sieci ;)

Ostatnio edytowany przez kondzio14 (2011-05-15 17:54:15)

Jacekalex napisał(-a):

A co to w ogóle za sieć jest?
Bo ja bym powsadzał firewalle do wszystkich maszyn, pozwolił tylko na np sambę wg klasy IP, dostęp do serwera bazy też wg IP, i po sprawie.

Sieć jak sieć... i standardowe usługi: Postfix, Samba, MySQL.. Z tym, że dane, które się przetwarza w bazie i przechowuje na serwerze są WAŻNE.

Jacekalex napisał(-a):

A atak z wewnątrz sieci? masz na myśli robaka sieciowego, czy usera?
bo robaka możesz honeydemonem namierzyć przy skanowaniu nieistniejących kompów, a użyszkodnikowi, który coś majstruje przy sieci "michę wyklepać" i po sprawie.

W zasadzie to zastanawiałem się co mi zaoferuje Guardian jeśli mam dobrze skonfigurowane iptables? Sam sobie odpowiedziałem, nie wiem na ile słusznie, ale tylko na myśl mi przyszedł atak z wnętrza sieci poprzez usera. Coś ponadto?

Jacekalex napisał(-a):

Poza tym zainteresuj się programem suricata albo psad, oba rozumieją reguły snorta, i też czasami działają.

Co raz większe stadko się tego robi...