snort+guardian

من طرف **المدير العام** الخميس مايو 14, 2009 12:33 pm

-- ماذا تقدم هذه الاضافة --

تقوم بأخذ تحذيرات سنورت وصد الايبهات التي تقوم بالاختراق أو بالاضرار بالشبكة .. مع امكانية معرفة هذه الايبهات وازالة الحظر عنها

-- تثبيت الاضافة --

نزل الاضافة من هنا
ثم شغل أمر فك الارشيف التالي :

الكود:: tar zxvf guardian-1.7.tar.gz

** يمكنك قراءة ملف README الموجود بالملف للمزيد من المعلومات
** اذهب للملف المسمى scripts وغير iptables_block.sh الى guardian_block.sh و iptables_unblock.sh الى guardian_unblock.sh
** افتح هذه الملفات وتأكد أن firewall_ip مشابه للـ setup عندك .. ثم انسخهم للمسار /usr/bin
** افتح الملف guadrian.pl وأضف :

الكود:: open(STDOUT, ">/var/log/guard.log") || die "Can't redirect stdout"; open(STDERR, ">/var/log/guard.err") || die "Can't dup stdout";

وذلك في الأعلى فوق :

الكود:: $OS=`uname`;

احفظ ثم انسخ الملف للمسار /usr/bin
** غير صلاحيات الملفات الثلاثة الى 755
** الآن اعمل الملفات الثلاثة التالية :
/var/log/guard.log, /var/log/guard.err and /var/log/guardian.log
** افتح الملف guardian.conf وغير Interface ppp0(dialup), HostGatewayByte 1 and TimeLimit 86400 لما تريد
** اعمل ملف وسمه guardian.ignore واضف به dns الخاص بك والجيتواي وايبهات الشبكة الداخلية وأي ايبهات اخرى لا تريد حظرها
** الآن انسخ الملفين للمسار /etc
** يمكنك تشغيل الاضافة بالأمر التالي :

الكود:: guardian.pl -c /etc/guardian.conf

أو فقط بالأمر :

الكود:: guardian.pl

واذا عمل بنجاح سيرجع المؤشر للمحث ثانية
** لعمل ايقونة للاضافة في صفحة الحالة بسمووثي .. افتح المسار التالي :

الكود:: /var/smoothwall/langs/base.pl

وأضف ما يلي :

الكود:: 'guardian control' => 'Guardian Control', 'guardian is enabled' => 'Guardian is enabled', 'guardian is disabled' => 'Guardian is disabled', 'start guardian' => 'Start Guardian', # button 'stop guardian' => 'Stop Guardian', # button

وذلك في قسم #ids.cgi قريب من الأسفل ثم احفظ
** افتح المسار /home/httpd/cgi-bin/ids.cgi وضع السطر التالي :

الكود:: $snortsettings{'ENABLE_GUARD'} = 'off';

وذلك في القسم التالي :

الكود:: $snortsettings{'ENABLE_SNORT'} = 'off'; $snortsettings{'ACTION'} = ''; &getcgihash(\%snortsettings);

ثم ابحث عن السطر التالي :

الكود:: &readhash("${swroot}/snort/settings", \%snortsettings);

وأضف فوقها ما يلي :

الكود:: ################################################################# if ($snortsettings{'ACTION'} eq $tr{'start guardian'}) { &readhash("${swroot}/snort/settings", \%snortsettings); if ($snortsettings{'ENABLE_SNORT'} eq 'on') { &log($tr{'guardian is enabled'}); system ('/bin/touch', "${swroot}/snort/enable_guard"); system ('guardian.pl'); } else { &log($tr{'guardian is disabled'}); unlink "${swroot}/snort/enable_guard"; } } if ($snortsettings{'ACTION'} eq $tr{'stop guardian'}) { &readhash("${swroot}/snort/settings", \%snortsettings); if ($snortsettings{'ENABLE_SNORT'} eq 'on') { &log($tr{'guardian is disabled'}); unlink "${swroot}/snort/enable_guard"; system ('killall guardian.pl'); } else { &log($tr{'guardian is enabled'}); system ('/bin/touch', "${swroot}/snort/enable_guard"); } } #################################################################

وذلك لتعديل صفحة سنورت في سمووثي
** والآن ستغير :

الكود:: system ('guardian.pl');

إلى :

الكود:: system ('guardian.pl -c /etc/guardian.conf');

لو ظهرت لك رسالة عدم العثور على guardian.conf .. فابحث عن السطر التالي :

الكود:: &closebox();

قريب من الأسفل .. واضف بعدها ما يلي :

الكود:: ################################################## &openbox('100%', 'LEFT', $tr{'guardian control'}); print <<END <TABLE WIDTH='100%'> <tr> <TD CLASS='base'>Guardian:</TD> <TD ALIGN='CENTER'><INPUT TYPE='SUBMIT' NAME='ACTION' VALUE='$tr{'start guardian'}'></TD> <TD ALIGN='CENTER'><INPUT TYPE='SUBMIT' NAME='ACTION' VALUE='$tr{'stop guardian'}'></TD> </TR> </TABLE> END ; &closebox(); ##################################################

ثم احفظ الملف .. ويمكنك الآن استخدام الاضافة Wink