[3.0] Guardian Active Response v3.0 for IDS

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل

[3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف المدير العام في الجمعة أبريل 24, 2009 12:48 am

-- أحدث إصدارة --
3.0a

** يفضل ازالة الاضافة قبل اي تحديث لسمووثي وتثبيتها مرة أخرى بعدها

-- ما تفعل هذه الاضافة --

تقوم بأخذ تنبيهات Snort IDS وتقوم بنقل الايبهات التي تقوم بالهجوم والاختراق لـقسم ipblock لصد المخترقين

-- تثبيت الاضافة --

** اذا كان عندك نسخة سابقة من الاضافة .. اذهب لصفحة IDS في سمووثي .. ثم أزل علامة الصح بجوار Guardian واضغط حفظ
يمكنك تنزيل الاضافة من هنا
ثم انقل الارشيف لمجلد tmp باستخدام برنامج winscp وادخل عليه ببرنامج putty واكتب الأوامر التالية :
الرمز:
cd /tmp
tar -zxvf GAR-3.0a-SWE3.tgz -C /
./install.sh

** اي اضافات لك في قسم ipblock سيتم حفظها لك

** الآن اذهب الى صفحة سمووثي في المسار Services->ids لاتمام اعدادات GAR

-- تحديث الاضافة --

فقط ثبت الاصدار الجديد وستقوم بعمل حفظ احتياطي لاعداداتك السابقة .. لتسترجعها يدويا اذا اردت

-- إزالة الاضافة --

فقط شغل هذا الاسكريبت :
الرمز:
/var/smoothwall/mods/guardian/uninstall.pl
وسوف يتم استرجاع الاعدادات السابقة

-- استخدام الاضافة --

تأكد انك مستخدم oinkcode تعمل وقمت بتحديث قواعد Snort وذلك بالضغط على زر Save and Update وكذلك أن Snort يعمل في صفحة الحالة أو في صفحة التقارير وذلك بتفعيله والضغط على زر حفظ .. ستجد الآن الخيارات الجديدة الخاصة بـ GAR .. اذا كنت مشترك بنقود في هذه الخدمة ففعل خاصية Snort Paid Subscriber لتنزيل القواعد المدفوعة مقدما .. أما القواعد المجانية فتتأخر 30 يوم عن المدفوعة وليس لك الا مرة واحدة فقط في الشهر للتحديث .. ويمكنك التعديل أو الاضافة أو الحذف من القسم المسمى guardian.ignore لاستبعاد ايبي الكارت الأخضر مثلا وايبهات الشبكة عندك وايبي الراوتر واي ايبي آخر .. ولن تحتاج لاعادة تشغيل الاضافة فهى تتعرف تلقائيا على اي تغيير .. وهناك ايضا خاصية Auto-updater والتي تقوم بالبحث عن تحديث لقواعد snort اسبوعيا اذا فعلتها .. ويمكنك تحديد وقت لحظر ايبيهات المخترقين من خيار blocking time limits per alert priority level .. كما يمكنك ايضا اضافة ارقام قواعد أو مجموعات لتجاهلها .. كأن تكون لديك خدمة تشغلها بجانب سمووثي مثل FTP server فتضع في خانة SID ما يلي 125:7 فذلك معناه تجاهل القاعدة الخاصة بـ FTP command channel encrypted .. ولا تنس ان تضغط Save Configuration بعد التعديلات .. ويمكنك الضغط على زر Help في أقصى أعلى يمين الصفحة للحصول على معلومات تفصيلية .. ولتشغيل الاضافة علم في المربع بجوار كلمة Guardian واضغط حفظ وستجد بجوارها رقم الاصدارة
** هذه الاضافة تقوم بحماية الكارت الأحمر فقط افتراضيا .. وهناك طريقة لحماية الشبكة الداخلية مشروحة في قسم الدعم الفني للاصدارة الثالثة
** ستجد ايقونة لـ Guardian في صفحة سمووثي About->status
** الايبهات التي سيتم حظرها ستجدها في صفحة سمووثي Networking->ipblock
** أحدث اصدارة من ids هى Snort v2.8
** عند تنزيل الاضافات التي تستخدم smoothinstall من الممكن أن تتحول حالة gar إلى اللون الرصاصي بالرغم من أنه يعمل .. ولحل هذه المشكلة اتبع الآتي :
1- اوقف gar بازالة علامة الصح بجانبه .. ثم اضغط زر حفظ
2- الآن من putty اكتب هذا الأمر لتتأكد من أن gar لم يعد يعمل :
الرمز:
ps aux | grep guardian
اذا لم يظهر اي سطر أو سطر واحد متبوع بـ grep guardian فمعناه انه لم يعد يعمل
أما اذا ظهر سطرين وآخرهم grep guardian فهو ما زال يعمل .. ويمكنك غلقه يديويا بالأمر التالي :
الرمز:
/usr/local/sbin/guardian.pl -k
ثم جرب الأمر السابق للتأكد من اغلاق gar ولا يظهر اي سطر أو سطر واحد فقط .. ولا تكمل الخطوات الا عندما تتأكد
3- اذهب للمسار /httpd/cgi-bin/status.cgi وغير ما يلي :
الرمز:
#(Config::Patch-gar-replace)
my $servicename;
if ($file eq 'guardian') {
$servicename = 'guardian.pl';
} else {
$servicename = $file;
}
#(Config::Patch::replace)
# CW15ICRzZXJ2aWNlbmFtZSA9ICRmaWxlOwo=
#(Config::Patch::replace)
#(Config::Patch-gar-replace
)

بالسطر التالي :
الرمز:
my $servicename = $basename;

ثم اذهب الى المسار /usr/local/sbin/guardian.pl تقريبا السطر 140 وغير :
الرمز:
my $pid_file = "/var/run/guardian.pl.pid";
بما يلي :
الرمز:
my $pid_file = "/var/run/guardian.pid";

4- الرابط /var/run/guardian.pid لم نعد نريده لذا :
اذا كتبت الأمر
الرمز:
ls -la /var/run/guardian.pl.pid
المفروض أن يكون الرد :
الرمز:
ls: cannot access /var/run/guardian.pl.pid: No such file or directory
أما لو كان الملف ما زال موجودا فأزله بالأمر التالي :
الرمز:
rm /var/run/guardian.pl.pid
** وتأكد أيضا أن الملف /var/run/guardian.pid لم يعد موجودا بالأمر التالي:
الرمز:
ls -la /var/run/guardian.pid
والمفروض أن يرد :
الرمز:
ls: cannot access /var/run/guardian.pid: No such file or directory
أما لو كان موجودا فيجب ازالته بالأمر :
الرمز:
rm /var/run/guardian.pid
** أخيرا شغل GAR من صفحة سمووثي .. وشغل هذا الأمر :
الرمز:
ls -la /var/run/guardian*
المفروض أن تجد فقط guardian.pid .. أما اذا وجدت /var/run/guardian.pl.pid فهناك شئ خطأ فعلته ويجب التدقيق من جديد
** الآن اعمل تحديث لصفحة الحالة لسمووثي أو فرغ كاش المتصفح أو انتقل للسان تبويب آخر ثم عد لصفحة الحالة من جديد وستجد حالة gar باللون الأخضر Very Happy

المدير العام
Admin
Admin

عدد المساهمات : 995
تاريخ التسجيل : 08/04/2009

http://smoothwall.ahlamountada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف ABOGAMIL في الأحد يونيو 14, 2009 5:48 pm

شكر لك على التوضيح اخى

ABOGAMIL
Admin
Admin

عدد المساهمات : 534
تاريخ التسجيل : 11/05/2009
العمر : 32
الموقع : smoothwall.ahlamountada

http://smoothwall.ahlamountada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف المدير العام في الأحد يونيو 14, 2009 6:04 pm

على الرحب والسعة

المدير العام
Admin
Admin

عدد المساهمات : 995
تاريخ التسجيل : 08/04/2009

http://smoothwall.ahlamountada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف ahmedmm86 في الأربعاء نوفمبر 25, 2009 1:33 am

شكرا سيدى على تلك الاضافة
لدى الان الاضافة وهى تعمل فى صفحة الحالة بحمد الله
لكنك يا سيدى لم تشرحها بكثير من التفاصيل والصور
ووظائف الاضافة
كيف يمككنى حماية الشبكة الداخلية على الكرت الاخضر والارجوانى بتلك الاضافة لاننى قمت بتثبيتها خصيصا لحماية الشبكة الداخلية ولم اجد فى المنتدى شىء بخصوص هذا الموضوع وبالتحديد استخدامها لمنع برامج (net cut)
لاننى اعانى كثير منها واضافة la bera
لا تفعل شيئا بهذا الخصوص مع انها تعمل.
هل تغنى هذه الاضافة عن الفيروول واالبروكسى؟؟؟
أخيرا القضاء على (NET CUT) لانه صداع فى دماغى
اسف على الاطالة والف شكر على الاهتمام والدعم الكبير من المنتدى لنا ولسمووث وول.

ahmedmm86
** سمووثي فـعـال **
** سمووثي فـعـال **

عدد المساهمات : 31
تاريخ التسجيل : 19/08/2009

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف ahmedmm86 في الأربعاء نوفمبر 25, 2009 2:57 am

الآن...
الفايروول كونترول يقوم فقط بغلق الياهووو عند عمل قاعدة رفض للماك
لماذا يعمل الفايروول فترة قصيرة ثم يتوقف
أرجو ان تتحملونى
قمت بازالة الاضافة وتثبيتها ثانية لكن لاجديد التصفح يعمل والياهوو فقط لايعمل

ahmedmm86
** سمووثي فـعـال **
** سمووثي فـعـال **

عدد المساهمات : 31
تاريخ التسجيل : 19/08/2009

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف ABOGAMIL في الأربعاء نوفمبر 25, 2009 9:55 am

اخى ممكن صورة كاملة للبروكسى والفايروول الخاص بك لحل المشكلة

_________________

ABOGAMIL
Admin
Admin

عدد المساهمات : 534
تاريخ التسجيل : 11/05/2009
العمر : 32
الموقع : smoothwall.ahlamountada

http://smoothwall.ahlamountada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف المدير العام في الأربعاء نوفمبر 25, 2009 11:14 am

** بالنسبة للنت كت راجع هذين الموضوعين :
الموضوع الأول
الموضوع الثاني
** وهذه الاضافة لا تغني عن البروكسي والفايروول فلكل شئ عمله
** بالنسبة لاضافة ffc فانظر أخي في الاضافات والتعديلات التي فعلتها مؤخرا فربما إحداها قام بتعطيل عمل هذه الاضافة لديك .. واليك حل ربما ينهي مشكلتك :
- قم بإزالة جميع القواعد في ffc لديك
- نزل هذا الاصدارة 3.1.4 وقم بتثبيتها
- نزل هذا الباتش من هنا
- فم بتثبيته بالأوامر التالية :
الرمز:
cd /tmp
tar xvfz FFC314A.tgz -C /
- قم بتنفيذ الأوامر التالية :
الرمز:
killall smoothd
smoothd
الآن يمكنك عمل القاعدة التي تريدها لمنع اتصال اي عميل والتجربه

المدير العام
Admin
Admin

عدد المساهمات : 995
تاريخ التسجيل : 08/04/2009

http://smoothwall.ahlamountada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف ahmedmm86 في الخميس نوفمبر 26, 2009 4:11 am

لم أفهم اخى أين أضع الامر
arp -a
arp -i eth0 -s 172.16.15.1 00:19:D1:XX:XX:XX
arp -a
وفى أى ملف بالضبط لكى امنع النت كت

ahmedmm86
** سمووثي فـعـال **
** سمووثي فـعـال **

عدد المساهمات : 31
تاريخ التسجيل : 19/08/2009

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف ahmedmm86 في الخميس نوفمبر 26, 2009 4:16 am

هل ينفع انى اضع اي بى وماك الكارت الاحمر بدلا من الراوتر
لانى مشغل الراوتر بريدج وقافل DHCP اللى فيه
والجيتواى والدى ان اس اللى حطيتهم لسمووث هما بتوع شركة النت
يعنى الراوتر ملوش اى بى فى الشبكة
انا مشغل الكارت الاحمر فى وضع pppoe

ahmedmm86
** سمووثي فـعـال **
** سمووثي فـعـال **

عدد المساهمات : 31
تاريخ التسجيل : 19/08/2009

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف المدير العام في الخميس نوفمبر 26, 2009 9:27 am

- ضع الأمر في المسار etc/rc.d/rc.netaddressup في الأسفل
وكذلك في المسار /etc/cron.often
** نعم أخي يمكنك وضع ايبي وماك الكارت الأحمر في هذه الحالة

المدير العام
Admin
Admin

عدد المساهمات : 995
تاريخ التسجيل : 08/04/2009

http://smoothwall.ahlamountada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف ahmedmm86 في الخميس ديسمبر 03, 2009 2:12 am

معذرة اخوانى انا لى سؤال محتاج الاجابة عليه بالتفصيل الممل....
كيف يمكننى استخدام snort & GAR
لحظر وحماية الشبكة من مستخدمى برامج الأرب (قطع الانترنت) فقط. أريد استخدامه لهذا الغرض فقط
أنا استطيع تشغيل سنورت وتثبيت GAR
ماذا بعد ذلك بالتفصيل الممل جدا
أنا قرأت شرح لهذا الجزء بواسطة الاستاذ المشرف لكننى تعثرت فى التنقيذ
أنا لاأريد حماية الكارت الاحمر أريد فقط منع برامج قطع الانترنت, علما بأن الرامات لدى 384 والمعالج 733/256
آسف على تكرار الاسئلة

ahmedmm86
** سمووثي فـعـال **
** سمووثي فـعـال **

عدد المساهمات : 31
تاريخ التسجيل : 19/08/2009

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف المدير العام في الخميس ديسمبر 03, 2009 4:26 am

راجع أخي هذا الموضوع اضغط هنا
- يجب أن تتأكد أن سنورت وكذلك gar يعملون في صفحة الحالة
- الرابط يوجد به كيف تحمي الكارت الأخضر بدلا عن الأحمر
- أرجو أن تخبرني في أي خطوة تعثرت
- الرامات والمعالج أدنى من المواصفات المطلوبة والتي ستجدها في الشرح بالموضوع .. ومع مرور الوقت سيتسلل البطء الشديد إلى سمووثي مما يؤدي للإحساس بتوقفه عن العمل Rolling Eyes
- أهلا بأسئلتك واستفساراتك دائما .. فأنت أحد أعضاء عائلة سمووث وول الكبيرة lol!

المدير العام
Admin
Admin

عدد المساهمات : 995
تاريخ التسجيل : 08/04/2009

http://smoothwall.ahlamountada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف المدير العام في الخميس يوليو 15, 2010 10:32 am

هذا تغيير جذري لـ ids.cgi الخاص بسنورت مع GAR والتحديث السادس لحل مشكلة عدم تحديث قواعد سنورت اوتوماتيكيا .. حتى يصدر اصدار GAR الحديث
قم بتنزيل الملف التالي إضغــــط هنـــــا
- ثم قم بتغيير اسم الملف إلى ids.cgi
- قم برفعها لمجلد tmp ببرنامج winscp ثم نفذ الأمر التالي في برنامج putty
الرمز:
chmod 755 /tmp/ids.cgi
mv /httpd/cgi-bin/ids.cgi /httpd/cgi-bin/ids.cgi.GAR
cp /tmp/ids.cgi /httpd/cgi-bin/ids.cgi
** وهذا ايضا تغيير جذري لملف update-snortrules.pl الخاص بـ GAR مع التحديث السادس .. نزل هذا الملف إضغـــط هنــــا
- قم بتغيير اسم الملف إلى update-snortrules.pl
- قم برفعها لمجلد tmp ببرنامج winscp ثم نفذ الأمر التالي في برنامج putty
الرمز:
chmod 755 /tmp/update-snortrules.pl
mv /usr/bin/smoothwall/update-snortrules.pl /usr/bin/smoothwall/update-snortrules.pl.GAR
cp /tmp/update-snortrules.pl /usr/bin/smoothwall/update-snortrules.pl
** أخيرا تأكد أنك قمت بتحديث wget لديك ليستطيع التعامل مع بروتوكول ssl

_________________

المدير العام
Admin
Admin

عدد المساهمات : 995
تاريخ التسجيل : 08/04/2009

http://smoothwall.ahlamountada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف ABOGAMIL في الخميس يوليو 15, 2010 10:57 am

الله عليك ياغالى دائما بكل جديد ومتالق دائما الى الامام بارك الله فيك اخى

_________________

ABOGAMIL
Admin
Admin

عدد المساهمات : 534
تاريخ التسجيل : 11/05/2009
العمر : 32
الموقع : smoothwall.ahlamountada

http://smoothwall.ahlamountada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف المدير العام في الخميس يوليو 15, 2010 12:08 pm

الله يحفظك يا غالي

_________________

المدير العام
Admin
Admin

عدد المساهمات : 995
تاريخ التسجيل : 08/04/2009

http://smoothwall.ahlamountada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف Hatem2010 في الخميس يوليو 15, 2010 5:46 pm

شكرا اخى تامر اكيد اضافة مهمة جدا .
ومتابعة رائعه اخى تامر .

Hatem2010
** مشرف سمووثي **
** مشرف سمووثي **

عدد المساهمات : 188
تاريخ التسجيل : 16/07/2009
العمر : 38

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: [3.0] Guardian Active Response v3.0 for IDS

مُساهمة من طرف المدير العام في الخميس يوليو 15, 2010 6:39 pm

بارك الله فيك يا صديقي Very Happy

_________________

المدير العام
Admin
Admin

عدد المساهمات : 995
تاريخ التسجيل : 08/04/2009

http://smoothwall.ahlamountada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة

- مواضيع مماثلة

 
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى