[3.0] Guardian Active Response v3.0 for IDS

-- أحدث إصدارة --
3.0a

** يفضل ازالة الاضافة قبل اي تحديث لسمووثي وتثبيتها مرة أخرى بعدها

-- ما تفعل هذه الاضافة --

تقوم بأخذ تنبيهات Snort IDS وتقوم بنقل الايبهات التي تقوم بالهجوم والاختراق لـقسم ipblock لصد المخترقين

-- تثبيت الاضافة --

** اذا كان عندك نسخة سابقة من الاضافة .. اذهب لصفحة IDS في سمووثي .. ثم أزل علامة الصح بجوار Guardian واضغط حفظ
يمكنك تنزيل الاضافة من هنا
ثم انقل الارشيف لمجلد tmp باستخدام برنامج winscp وادخل عليه ببرنامج putty واكتب الأوامر التالية :

الكود:

cd /tmp
tar -zxvf GAR-3.0a-SWE3.tgz -C /
./install.sh

** اي اضافات لك في قسم ipblock سيتم حفظها لك

** الآن اذهب الى صفحة سمووثي في المسار Services->ids لاتمام اعدادات GAR

-- تحديث الاضافة --

فقط ثبت الاصدار الجديد وستقوم بعمل حفظ احتياطي لاعداداتك السابقة .. لتسترجعها يدويا اذا اردت

-- إزالة الاضافة --

فقط شغل هذا الاسكريبت :

الكود:

/var/smoothwall/mods/guardian/uninstall.pl

وسوف يتم استرجاع الاعدادات السابقة

-- استخدام الاضافة --

تأكد انك مستخدم oinkcode تعمل وقمت بتحديث قواعد Snort وذلك بالضغط على زر Save and Update وكذلك أن Snort يعمل في صفحة الحالة أو في صفحة التقارير وذلك بتفعيله والضغط على زر حفظ .. ستجد الآن الخيارات الجديدة الخاصة بـ GAR .. اذا كنت مشترك بنقود في هذه الخدمة ففعل خاصية Snort Paid Subscriber لتنزيل القواعد المدفوعة مقدما .. أما القواعد المجانية فتتأخر 30 يوم عن المدفوعة وليس لك الا مرة واحدة فقط في الشهر للتحديث .. ويمكنك التعديل أو الاضافة أو الحذف من القسم المسمى guardian.ignore لاستبعاد ايبي الكارت الأخضر مثلا وايبهات الشبكة عندك وايبي الراوتر واي ايبي آخر .. ولن تحتاج لاعادة تشغيل الاضافة فهى تتعرف تلقائيا على اي تغيير .. وهناك ايضا خاصية Auto-updater والتي تقوم بالبحث عن تحديث لقواعد snort اسبوعيا اذا فعلتها .. ويمكنك تحديد وقت لحظر ايبيهات المخترقين من خيار blocking time limits per alert priority level .. كما يمكنك ايضا اضافة ارقام قواعد أو مجموعات لتجاهلها .. كأن تكون لديك خدمة تشغلها بجانب سمووثي مثل FTP server فتضع في خانة SID ما يلي 125:7 فذلك معناه تجاهل القاعدة الخاصة بـ FTP command channel encrypted .. ولا تنس ان تضغط Save Configuration بعد التعديلات .. ويمكنك الضغط على زر Help في أقصى أعلى يمين الصفحة للحصول على معلومات تفصيلية .. ولتشغيل الاضافة علم في المربع بجوار كلمة Guardian واضغط حفظ وستجد بجوارها رقم الاصدارة
** هذه الاضافة تقوم بحماية الكارت الأحمر فقط افتراضيا .. وهناك طريقة لحماية الشبكة الداخلية مشروحة في قسم الدعم الفني للاصدارة الثالثة
** ستجد ايقونة لـ Guardian في صفحة سمووثي About->status
** الايبهات التي سيتم حظرها ستجدها في صفحة سمووثي Networking->ipblock
** أحدث اصدارة من ids هى Snort v2.8
** عند تنزيل الاضافات التي تستخدم smoothinstall من الممكن أن تتحول حالة gar إلى اللون الرصاصي بالرغم من أنه يعمل .. ولحل هذه المشكلة اتبع الآتي :
1- اوقف gar بازالة علامة الصح بجانبه .. ثم اضغط زر حفظ
2- الآن من putty اكتب هذا الأمر لتتأكد من أن gar لم يعد يعمل :

الكود:

ps aux | grep guardian

اذا لم يظهر اي سطر أو سطر واحد متبوع بـ grep guardian فمعناه انه لم يعد يعمل
أما اذا ظهر سطرين وآخرهم grep guardian فهو ما زال يعمل .. ويمكنك غلقه يديويا بالأمر التالي :

الكود:

/usr/local/sbin/guardian.pl -k

ثم جرب الأمر السابق للتأكد من اغلاق gar ولا يظهر اي سطر أو سطر واحد فقط .. ولا تكمل الخطوات الا عندما تتأكد
3- اذهب للمسار /httpd/cgi-bin/status.cgi وغير ما يلي :

الكود:

#(Config::Patch-gar-replace)
my $servicename;
if ($file eq 'guardian') {
$servicename = 'guardian.pl';
} else {
$servicename = $file;
}
#(Config::Patch::replace)
# CW15ICRzZXJ2aWNlbmFtZSA9ICRmaWxlOwo=
#(Config::Patch::replace)
#(Config::Patch-gar-replace

)

بالسطر التالي :

الكود:

my $servicename = $basename;

ثم اذهب الى المسار /usr/local/sbin/guardian.pl تقريبا السطر 140 وغير :

الكود:

my $pid_file = "/var/run/guardian.pl.pid";

بما يلي :

الكود:

my $pid_file = "/var/run/guardian.pid";

4- الرابط /var/run/guardian.pid لم نعد نريده لذا :
اذا كتبت الأمر

الكود:

ls -la /var/run/guardian.pl.pid

المفروض أن يكون الرد :

الكود:

ls: cannot access /var/run/guardian.pl.pid: No such file or directory

أما لو كان الملف ما زال موجودا فأزله بالأمر التالي :

الكود:

rm /var/run/guardian.pl.pid

** وتأكد أيضا أن الملف /var/run/guardian.pid لم يعد موجودا بالأمر التالي:

الكود:

ls -la /var/run/guardian.pid

والمفروض أن يرد :

الكود:

ls: cannot access /var/run/guardian.pid: No such file or directory

أما لو كان موجودا فيجب ازالته بالأمر :

الكود:

rm /var/run/guardian.pid

** أخيرا شغل GAR من صفحة سمووثي .. وشغل هذا الأمر :

الكود:

ls -la /var/run/guardian*

المفروض أن تجد فقط guardian.pid .. أما اذا وجدت /var/run/guardian.pl.pid فهناك شئ خطأ فعلته ويجب التدقيق من جديد
** الآن اعمل تحديث لصفحة الحالة لسمووثي أو فرغ كاش المتصفح أو انتقل للسان تبويب آخر ثم عد لصفحة الحالة من جديد وستجد حالة gar باللون الأخضر

شكر لك على التوضيح اخى

على الرحب والسعة

شكرا سيدى على تلك الاضافة
لدى الان الاضافة وهى تعمل فى صفحة الحالة بحمد الله
لكنك يا سيدى لم تشرحها بكثير من التفاصيل والصور
ووظائف الاضافة
كيف يمككنى حماية الشبكة الداخلية على الكرت الاخضر والارجوانى بتلك الاضافة لاننى قمت بتثبيتها خصيصا لحماية الشبكة الداخلية ولم اجد فى المنتدى شىء بخصوص هذا الموضوع وبالتحديد استخدامها لمنع برامج (net cut)
لاننى اعانى كثير منها واضافة la bera
لا تفعل شيئا بهذا الخصوص مع انها تعمل.
هل تغنى هذه الاضافة عن الفيروول واالبروكسى؟؟؟
أخيرا القضاء على (NET CUT) لانه صداع فى دماغى
اسف على الاطالة والف شكر على الاهتمام والدعم الكبير من المنتدى لنا ولسمووث وول.

الآن...
الفايروول كونترول يقوم فقط بغلق الياهووو عند عمل قاعدة رفض للماك
لماذا يعمل الفايروول فترة قصيرة ثم يتوقف
أرجو ان تتحملونى
قمت بازالة الاضافة وتثبيتها ثانية لكن لاجديد التصفح يعمل والياهوو فقط لايعمل

اخى ممكن صورة كاملة للبروكسى والفايروول الخاص بك لحل المشكلة

** بالنسبة للنت كت راجع هذين الموضوعين :
الموضوع الأول
الموضوع الثاني
** وهذه الاضافة لا تغني عن البروكسي والفايروول فلكل شئ عمله
** بالنسبة لاضافة ffc فانظر أخي في الاضافات والتعديلات التي فعلتها مؤخرا فربما إحداها قام بتعطيل عمل هذه الاضافة لديك .. واليك حل ربما ينهي مشكلتك :
- قم بإزالة جميع القواعد في ffc لديك
- نزل هذا الاصدارة 3.1.4 وقم بتثبيتها
- نزل هذا الباتش من هنا
- فم بتثبيته بالأوامر التالية :

الكود:

cd /tmp
tar xvfz FFC314A.tgz -C /

- قم بتنفيذ الأوامر التالية :

الكود:

killall smoothd
smoothd

الآن يمكنك عمل القاعدة التي تريدها لمنع اتصال اي عميل والتجربه

لم أفهم اخى أين أضع الامر
arp -a
arp -i eth0 -s 172.16.15.1 00:19:D1:XX:XX:XX
arp -a
وفى أى ملف بالضبط لكى امنع النت كت

هل ينفع انى اضع اي بى وماك الكارت الاحمر بدلا من الراوتر
لانى مشغل الراوتر بريدج وقافل DHCP اللى فيه
والجيتواى والدى ان اس اللى حطيتهم لسمووث هما بتوع شركة النت
يعنى الراوتر ملوش اى بى فى الشبكة
انا مشغل الكارت الاحمر فى وضع pppoe

- ضع الأمر في المسار etc/rc.d/rc.netaddressup في الأسفل
وكذلك في المسار /etc/cron.often
** نعم أخي يمكنك وضع ايبي وماك الكارت الأحمر في هذه الحالة

معذرة اخوانى انا لى سؤال محتاج الاجابة عليه بالتفصيل الممل....
كيف يمكننى استخدام snort & GAR
لحظر وحماية الشبكة من مستخدمى برامج الأرب (قطع الانترنت) فقط. أريد استخدامه لهذا الغرض فقط
أنا استطيع تشغيل سنورت وتثبيت GAR
ماذا بعد ذلك بالتفصيل الممل جدا
أنا قرأت شرح لهذا الجزء بواسطة الاستاذ المشرف لكننى تعثرت فى التنقيذ
أنا لاأريد حماية الكارت الاحمر أريد فقط منع برامج قطع الانترنت, علما بأن الرامات لدى 384 والمعالج 733/256
آسف على تكرار الاسئلة

راجع أخي هذا الموضوع اضغط هنا
- يجب أن تتأكد أن سنورت وكذلك gar يعملون في صفحة الحالة
- الرابط يوجد به كيف تحمي الكارت الأخضر بدلا عن الأحمر
- أرجو أن تخبرني في أي خطوة تعثرت
- الرامات والمعالج أدنى من المواصفات المطلوبة والتي ستجدها في الشرح بالموضوع .. ومع مرور الوقت سيتسلل البطء الشديد إلى سمووثي مما يؤدي للإحساس بتوقفه عن العمل
- أهلا بأسئلتك واستفساراتك دائما .. فأنت أحد أعضاء عائلة سمووث وول الكبيرة

هذا تغيير جذري لـ ids.cgi الخاص بسنورت مع GAR والتحديث السادس لحل مشكلة عدم تحديث قواعد سنورت اوتوماتيكيا .. حتى يصدر اصدار GAR الحديث
قم بتنزيل الملف التالي إضغــــط هنـــــا
- ثم قم بتغيير اسم الملف إلى ids.cgi
- قم برفعها لمجلد tmp ببرنامج winscp ثم نفذ الأمر التالي في برنامج putty

الكود:

chmod 755 /tmp/ids.cgi
mv /httpd/cgi-bin/ids.cgi /httpd/cgi-bin/ids.cgi.GAR
cp /tmp/ids.cgi /httpd/cgi-bin/ids.cgi

** وهذا ايضا تغيير جذري لملف update-snortrules.pl الخاص بـ GAR مع التحديث السادس .. نزل هذا الملف إضغـــط هنــــا
- قم بتغيير اسم الملف إلى update-snortrules.pl
- قم برفعها لمجلد tmp ببرنامج winscp ثم نفذ الأمر التالي في برنامج putty

الكود:

chmod 755 /tmp/update-snortrules.pl
mv /usr/bin/smoothwall/update-snortrules.pl /usr/bin/smoothwall/update-snortrules.pl.GAR
cp /tmp/update-snortrules.pl /usr/bin/smoothwall/update-snortrules.pl

** أخيرا تأكد أنك قمت بتحديث wget لديك ليستطيع التعامل مع بروتوكول ssl

الله عليك ياغالى دائما بكل جديد ومتالق دائما الى الامام بارك الله فيك اخى

الله يحفظك يا غالي

بارك الله فيك يا صديقي