5 - Guardian: um Snort reativo

O Guardian é um script na linguagem Perl, que insere temporariamente regras de bloqueio em um firewall, a partir dos alertas gerados pelo Snort. Através do Guardian, a instalação de Snort passa a ter uma característica reativa.

O Guardian não é instalado automaticamente na distribuição e deve ser baixado e instalado manualmente.

Os passos a seguir instalam o Guardian e o integram com o firewall Iptables:

  1. 1 - Baixe a última versão do “Guardian Active Response for Snort” e o descompacte.
  2. 2 - Copie o arquivo de configuração do Guardian para o diretório /etc.
  3. 3 - Edite o arquivo e ajuste os seguintes parâmetros:
    1. 3.1 - Interface – interface onde serão bloqueados os pacotes maliciosos. Ajuste para a sua interface externa.
    2. 3.2 - HostGatewayByte – último octeto do endereço IP do gateway.
    3. 3.3 - AlertFile – local do arquivo de alertas do Snort.
  4. 4 - Crie o arquivo /etc/guardian.ignore e inclua nele os endereços IP que serão ignorados (um por linha).
  5. 5 - Crie o arquivo /etc/guardian.target e inclua nele os endereços IP da máquina atual.
  6. 6 - Copie o arquivo guardian.pl para o diretório /usr/local/bin.
  7. 7 - Copie os scripts de bloqueio e desbloqueio referentes ao Iptables para o mesmo diretório.
    1. 7.1 - cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh
    2. 7.2 - cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh
  8. 8 - Execute o Guardian com o seguinte comando:

/usr/local/bin/guardian.pl –c /etc/guardian.conf

Copyright © 2014 AIEC.