IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 16.07.2018, 03:09

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 12 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Seiten automatisch blocken
BeitragVerfasst: 14.04.2004, 17:20 
Offline
Commissioner
Themenstarter
Commissioner
Benutzeravatar

Registriert: 12.10.2003
Beiträge: 2500
Wohnort: Helmbrechts
Der Mod läuft nur auf der 1.3, die 1.4 läuft nicht auf meiner Hardware, sorry.

Edit:
Mittlerweile läuft der Mod auch auf dem Ipcop ab 1.4.4.
Info und Download hier.


So, nun zum Sinn und Zweck des MOD :

Anhand der Ergebnisse von Snort blockiert der MOD automatisch die IP, von der aus Ihr gescannt werdet.

Man kann auch manuell IP-Adressen sperren.

Erst mal zur installation:

MOD runterladen, ins /tmp-Verzeichniss kopieren,
mit tar xvfz guardian.tar.gz entpacken,
ins guardian-Verzeichniss wechseln,
./install aufrufen.

Danach habt ihr eine neue Seite im Webinterface unter Dienste: IPBLOCK.

Dort könnt ihr die Ipadressen manuell sperren.

Um die Automatik zu aktivieren müsst ihr unter
==> System ==> Intrusion Detection System
erstmal Snort ausschalten und dann wieder einschalten.

Danach kommt unterhalb von SNORT noch ein Feld GUARDIAN und der Link zur Guardian-Config-Seite.

In der Config-Seite müsst ihr noch das richtige Interface eintragen, bei DSL z.b. ppp0.

Guardian Timelimit ist die Zeit (in Sekunden), die eine IP durch die Automatik geblockt wird.

VORSICHT:

Eine DNS-Server werden ausversehen als Gefahr erkannt.
Sollte das passieren, die IP-Adressen eurer DNS-Server in /etc/guardian.ignore eintragen.

Dort könnt ihr auch alle anderen Rechner eintragen, die auf keine Fall geblockt werden sollen.


P.S.:

Es können nur IP-Adressen gesperrt werden (die Namensauflösung in der Anzeige macht der mod selbst) !!!!

Wer bereits meinen IP-Block-Mod installiert hat, bitte erst de-installieren, da hier bereits enthalten.

Wenn Guardian aktiviert ist, wird er das auch nach einen Neustart des Rechners !!!

Und die Farben hab ich nur für mich gemacht, der Mod ändert nichts an euren Einstellungen diesbezüglich.

So, genug gelabert, viel Spass.

Edit: Hab jetzt eine neue Version Online, in der alten fehlte der cronjob.

Wer die alte Version schon installiert hat, braucht nur in /etc/cron.hourly/ eine Datei mit folgenden Inhalt erstellen (der Name der Datei ist egal):

Code:
/usr/local/bin/restartguardian


und diese mit chmod 755 dateiname ausführbar machen.

In der neuen Version ist dies bereits enthalten.

_________________
Gruß, Markus


Zuletzt geändert von mh254 am 16.05.2005, 16:42, insgesamt 3-mal geändert.

Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 06.12.2004, 14:44 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.03.2004
Beiträge: 1349
Wohnort: Stuttgart
Hallo mh254,

wird es den IPBlock MOD auch für den 1.4.x er Cop geben? Oder weisst Du, ob's da was ähnliches gibt, was schon läuft?

Danke und Gruss,
cibo mato


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 06.12.2004, 16:00 
Offline
Commissioner
Themenstarter
Commissioner
Benutzeravatar

Registriert: 12.10.2003
Beiträge: 2500
Wohnort: Helmbrechts
Der Mod für die 1.4'er läuft bei mir schon probeweise, wird demnächst veröffentlicht.

_________________
Gruß, Markus


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 06.12.2004, 23:42 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.03.2004
Beiträge: 1349
Wohnort: Stuttgart
Super!

Hast Du doch die Hardware für die 1.4er gewechselt?


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 07.12.2004, 07:03 
Offline
Commissioner
Themenstarter
Commissioner
Benutzeravatar

Registriert: 12.10.2003
Beiträge: 2500
Wohnort: Helmbrechts
Dank einer Spende in Form von Arbeitsspeicher konnte ich auf den auf den 1.4'er umsteigen. :D

_________________
Gruß, Markus


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 07.12.2004, 11:00 
Offline
Chief Inspector
Chief Inspector
Benutzeravatar

Registriert: 04.05.2004
Beiträge: 119
Wohnort: Bremen
mh254 hat geschrieben:
Der Mod für die 1.4'er läuft bei mir schon probeweise, wird demnächst veröffentlicht.


Ich habe den MOD auf meinem IPCOP 1.4.1 installiert, was Guardian betrifft scheint alles im Lot zu sein. Zwei Fragen habe ich trotzdem:

* Meine Netzwerk Graphen sind leer, siehe Bild im internationalem Forum. Wie bekomme ich diese zurück?

* Ich möchte gerne, dass p2p Traffic zur Blockade der Destination führt. Die p2p.rules habe ich dazu in snort.conf aktiviert. Was muss ich noch tun, damit der Guardian aktiv wird? Bis jetzt wird der p2p-Traffic von snort nur geloggt. Beispiel:
Code:
12/06-23:28:38.721589  [**] [1:1699:7] P2P Fastrack kazaa/morpheus traffic [**] [Classification: Potential Corporate Privacy Violation] [Priorit 
y: 1] {TCP} xx.xxx.x.xx:2500 -> yyy.yyy.yyy.yyy:1214


teletoeffel


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 07.12.2004, 13:14 
Offline
Commissioner
Themenstarter
Commissioner
Benutzeravatar

Registriert: 12.10.2003
Beiträge: 2500
Wohnort: Helmbrechts
Wird das in den Logs oder in /var/log/snort/alert geloggt ?

Guardian schaut nur in /var/log/snort/alert.

_________________
Gruß, Markus


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 07.12.2004, 14:08 
Offline
Chief Inspector
Chief Inspector
Benutzeravatar

Registriert: 04.05.2004
Beiträge: 119
Wohnort: Bremen
mh254 hat geschrieben:
Guardian schaut nur in /var/log/snort/alert.


Ein Blick in /var/log/snort/alert ergab folgendes (Beispiel):

Code:
12/06-23:36:23.051932  [**] [1:1699:7] P2P Fastrack kazaa/morpheus traffic [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} yyy
.yyy.yyy.yyy:2934 -> xxx.xxx.xxx.xxx:1214

Und hast Du eine Idee, warum die Grafiken für den Netzwerktraffic seit der Installation des Mod nicht mehr erzeugt werden?


Nach oben
   
 Betreff des Beitrags: guardian addon
BeitragVerfasst: 16.05.2005, 15:26 
Offline
Apprentice
Apprentice

Registriert: 26.09.2004
Beiträge: 10
Hi mh254,

Would it be possible to make an addition in guardian to add different timelimits for diff. activities/Rules ? Like 0 timelimit is forever.

I would like to have Guardian block ip´s for good that tries to use my email server as relay, Guardian has to look in the log for: Name: POLICY SMTP relaying denied and the IP in the log looks like: 10.0.0.2:25 -> 59.112.87.xx:1188 the 59.112.87.xx is of course the ip that has to be blocked permanent.

kind regards
PhuPhyt

PS.
sorry about me writing in english, i´m not german but do understand most of it anyway.


Nach oben
   
 Betreff des Beitrags: Re: guardian addon
BeitragVerfasst: 16.05.2005, 16:34 
Offline
Commissioner
Themenstarter
Commissioner
Benutzeravatar

Registriert: 12.10.2003
Beiträge: 2500
Wohnort: Helmbrechts
PhuPhyt hat geschrieben:
sorry about me writing in english, i´m not german but do understand most of it anyway.


Let's talk about it here.

_________________
Gruß, Markus


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 19.05.2005, 16:05 
Offline
Deputy Superintendent
Deputy Superintendent
Benutzeravatar

Registriert: 30.03.2004
Beiträge: 220
Frage.

MyNetwatchman läuft bei mir auf dem cop.
IDS ist aus !
troztdem läuft MyNetwatchman problem los.
würde dies auch auf den Guardian auch zutreffen oder muss ich tatsächlich ids aktivieren.
was ich eigentlich vermeiden möchte da die logs doch arg an meinen 2gb festplatten resourcen nagen ^^


regards
Shodan


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 19.05.2005, 16:14 
Offline
Commissioner
Themenstarter
Commissioner
Benutzeravatar

Registriert: 12.10.2003
Beiträge: 2500
Wohnort: Helmbrechts
Guardian funktioniert definitiv nur, wenn Snort aktiv ist, da er nur das snort-alertfile ausliest und denn entsprechende iptables-Regeln erstellt.

_________________
Gruß, Markus


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 12 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de