[debiancolombia] Pregunta Guardian+Snort

[Antonio Vanegas P]

Buenas,

Alguno de ustedes que este usando guardia+snort, me podria guiar o ayudar a
encontrar el porque guardian no toma ninguna acción, es decir no ejecuta
ningun bloqueo, llevo probandolo por mas de 2 dias y nada, solo logea lo
siguiente:

Odd.. source = 192.168.1.2, dest = 207.46.11.124 - No action done.

Y asi por el estilo.
Mi archivo de configuración esta asi (variables importantes):

HostIpAddr 200.118.24.36
Interface eth0
HostGatewayByte  1
AlertFile  /var/log/snort/alert

Ahora, eth0 es la interfaz que tiene la ip publica, y el AlertFile es el de
snort correcto. Y tambien veo q medio funciona porq por cada alerta de
snort, guardian hace algo, pero para ataques bien puntuales como este:

[**] [1:485:5] ICMP Destination Unreachable Communication Administratively
Prohibited [**]
[Classification: Misc activity] [Priority: 3]
05/20-16:09:55.630509 84.186.140.187 -> 192.168.1.9
ICMP TTL:48 TOS:0x0 ID:2278 IpLen:20 DgmLen:56
Type:3  Code:13  DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED

o por ejemplo esta con prioridad 1:

[**] [1:2329:7] MS-SQL probe response overflow attempt [**]
[Classification: Attempted User Privilege Gain] [Priority: 1]
05/19-20:12:45.152411 83.22.37.146 -> 192.168.1.2
UDP TTL:110 TOS:0x0 ID:39954 IpLen:20 DgmLen:1500 MF
Frag Offset: 0x0000   Frag Size: 0x05C8

No hizo nada.


La documentación de guardian es pésima, pero estoy mirando otras propuestas
o sugerencias de algun otro, por ejemplo SNORTSAM, si tienen algun otro q m
recomienden se los agradesco.

Muchas gracias de antemano,

-- 
Alvaro Antonio Vanegas P.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://listas.debiancolombia.org/pipermail/general/attachments/20070521/9ee8df99/attachment.htm