hi,
en installant guardian certaine personne ne peuvent plus acceder a mes sites !!!!
au secours que dois-je faire ????? qu'est-ce que j'ai fais de mal ?????
j'ai ipcop 1.3.0 avec toutes les mises a jours
URGENT guardian [resolu]
Modérateur: modos Ixus
13 messages
• Page 1 sur 1
URGENT guardian [resolu]
par firecortex » 05 Juil 2004 16:19
Dernière édition par firecortex le 01 Oct 2005 19:24, édité 1 fois au total.
- firecortex
- Quartier Maître
- Messages: 22
- Inscrit le: 02 Juil 2004 16:20
par SecureMan » 05 Juil 2004 16:24
si ces personnes ont installe guardian et que tu es bloque c'est sans doute que tes machines scan ou alors envoie des paquets identifies comme dangereux.
Tes machines sont elles infectees ? Corrompues ?
Guardian s'appuie sur des alertes snort, donc...
Cependant, ces personnes peuvent t'ajouter dans un fichier ignore et tu ne seras plus bloque.
Tes machines sont elles infectees ? Corrompues ?
Guardian s'appuie sur des alertes snort, donc...
Cependant, ces personnes peuvent t'ajouter dans un fichier ignore et tu ne seras plus bloque.
-
SecureMan - Capitaine de vaisseau
- Messages: 271
- Inscrit le: 08 Mars 2004 01:00
par firecortex » 05 Juil 2004 16:37
En fait je t'explique clairement la situation :
Sur un de mes serveurs j'ai une application style yahoo que me client peuvent consulter.
Avant d'installer guardian tous se passait bien.
Mais des que je l'installe, des clients m'appellent en me disant qu'ils ne peuvent plus se connecter a l'application.
Alors je suppose que cela vient de guardian mais je n'est pas d'indication reelle...
Et la je n'y comprend plus rien
Sur un de mes serveurs j'ai une application style yahoo que me client peuvent consulter.
Avant d'installer guardian tous se passait bien.
Mais des que je l'installe, des clients m'appellent en me disant qu'ils ne peuvent plus se connecter a l'application.
Alors je suppose que cela vient de guardian mais je n'est pas d'indication reelle...
Et la je n'y comprend plus rien
- firecortex
- Quartier Maître
- Messages: 22
- Inscrit le: 02 Juil 2004 16:20
par wismna » 05 Juil 2004 16:45
Bon, il faudrait lire les docs un peu.
1. As-tu regardé les logs de guardian, pour voir si ton serveur, ou si les postes de travail de tes clients, étaient dedans, marqués comme bloqués?
Ou sinon, regarde dans iptables (iptables -L) les ip bloquées, et que le firewall va dropper.
2. AS-tu bien pensé à mettre dans guardian.ignore tout ton réseau local, avec tes serveurs etc, ainsi que 2-3 autres trucs, tels que les serveurs DNS de ton FAI?
Il faut bien voir que quardian se base sur snort, donc là a moindre alerte loguée par snort, ne fut-ce qu'un ping, et hop l'adresse est bloquée.
voila, en espérant que ça t'aide, bye.
1. As-tu regardé les logs de guardian, pour voir si ton serveur, ou si les postes de travail de tes clients, étaient dedans, marqués comme bloqués?
Ou sinon, regarde dans iptables (iptables -L) les ip bloquées, et que le firewall va dropper.
2. AS-tu bien pensé à mettre dans guardian.ignore tout ton réseau local, avec tes serveurs etc, ainsi que 2-3 autres trucs, tels que les serveurs DNS de ton FAI?
Il faut bien voir que quardian se base sur snort, donc là a moindre alerte loguée par snort, ne fut-ce qu'un ping, et hop l'adresse est bloquée.
voila, en espérant que ça t'aide, bye.
What is the purpose of meaning?
- wismna
- Quartier Maître
- Messages: 16
- Inscrit le: 11 Juin 2004 20:35
par erreipnaej » 05 Juil 2004 16:45
Bonjour,
Renseigne toi sur les Ip de tes clients puis regardes dans les logs de Snort le type d'ativité qui génére le blocage. (SID:XXX)
Tu peux ensuite éditer les régles de blocage dans etc/snort . (je crois que c'est le bon chemin, j'ai pas d'IpCop sous la main)
Si par exemple, un client te pingue, il est bloqué.
J'ai déja expliqué cela dans un autre post sur Ixus.
Regarde dans mes post sur Guardian, tu trouvera.
J'ai bien galéré déja avec ça, alors j'ai une petite expérience.
@+
Renseigne toi sur les Ip de tes clients puis regardes dans les logs de Snort le type d'ativité qui génére le blocage. (SID:XXX)
Tu peux ensuite éditer les régles de blocage dans etc/snort . (je crois que c'est le bon chemin, j'ai pas d'IpCop sous la main)
Si par exemple, un client te pingue, il est bloqué.
J'ai déja expliqué cela dans un autre post sur Ixus.
Regarde dans mes post sur Guardian, tu trouvera.
J'ai bien galéré déja avec ça, alors j'ai une petite expérience.
@+
-
erreipnaej - Vice-Amiral
- Messages: 614
- Inscrit le: 14 Déc 2003 01:00
- Localisation: Val d'Oise
par firecortex » 05 Juil 2004 17:43
je viens de regarder un peu mes fichiers de logs et tout ca.
et je viens de m'apercevoir que des qu'un client se connectait a mes sites celui-ci etais refuse car snort me detecte l'erreur 1560
que dois je faire pour resoudre se probleme, j'ai lu le descriptif de snort pour lerreur 1560 et j'ai verifie tout mes systemes sont a jour
en fait je crois avoir trouv la source de mon pb, en fait c'est un seul site qui pose probleme : il utilise des redirections a la php.
qu'en pensez-vous ?
et je viens de m'apercevoir que des qu'un client se connectait a mes sites celui-ci etais refuse car snort me detecte l'erreur 1560
que dois je faire pour resoudre se probleme, j'ai lu le descriptif de snort pour lerreur 1560 et j'ai verifie tout mes systemes sont a jour
en fait je crois avoir trouv la source de mon pb, en fait c'est un seul site qui pose probleme : il utilise des redirections a la php.
qu'en pensez-vous ?
- firecortex
- Quartier Maître
- Messages: 22
- Inscrit le: 02 Juil 2004 16:20
par wismna » 05 Juil 2004 18:18
Alors, que je comprenne bien:
Un client n'est donc pas sur ton réseau? c'est un utilisateur quelconque, venant d'internet par exemple?
Dans ce cas, le plus simple, c'est de faire arrêter à snort de loger cette alerte:
- tu te connectes à ipcop en ssh
- tu vas dans le dossier où sont les règles snort (je sais plus lequel c'est, peut-etre /var/ipcop/snort)
- tu cherches le fichier .rule dont le nom correspond au type de l'attaque
- tu l'édites, et tu rajoutes # devant la ligne qui correspond à cette attaque
- save, quit, restart snort, et c'est bon
Le résultat, c'est que ce problème ne sera plus logué par snort, et donc guardian ne le verra plus, donc plus de block.
Un client n'est donc pas sur ton réseau? c'est un utilisateur quelconque, venant d'internet par exemple?
Dans ce cas, le plus simple, c'est de faire arrêter à snort de loger cette alerte:
- tu te connectes à ipcop en ssh
- tu vas dans le dossier où sont les règles snort (je sais plus lequel c'est, peut-etre /var/ipcop/snort)
- tu cherches le fichier .rule dont le nom correspond au type de l'attaque
- tu l'édites, et tu rajoutes # devant la ligne qui correspond à cette attaque
- save, quit, restart snort, et c'est bon
Le résultat, c'est que ce problème ne sera plus logué par snort, et donc guardian ne le verra plus, donc plus de block.
What is the purpose of meaning?
- wismna
- Quartier Maître
- Messages: 16
- Inscrit le: 11 Juin 2004 20:35
par erreipnaej » 05 Juil 2004 21:14
Re,
C'est le risque!
Cliques sur le lien du SID pour connaitre le type d'attaque et le risque potentiel.
@+
C'est le risque!
Cliques sur le lien du SID pour connaitre le type d'attaque et le risque potentiel.
@+
-
erreipnaej - Vice-Amiral
- Messages: 614
- Inscrit le: 14 Déc 2003 01:00
- Localisation: Val d'Oise
par Zimt » 28 Sep 2005 20:12
Merci wismna pour la consigne (corrigée par Gandalf).
Le SID 408 n'à absolument rien de critique, il s'agit juste de la réponse à un ping. Il sert a mappé un réseau.
Actuellement j'ai désactivé les SID 382, 384 et 408 qui se trouvent dans le fichier icmp-info.rules pour laisser passer les pings classiques (valides).
Maintenant tout fonctionne et les règles dos.rules jouent prfaitement leurs rôles
Merci à tous
Le SID 408 n'à absolument rien de critique, il s'agit juste de la réponse à un ping. Il sert a mappé un réseau.
Actuellement j'ai désactivé les SID 382, 384 et 408 qui se trouvent dans le fichier icmp-info.rules pour laisser passer les pings classiques (valides).
Maintenant tout fonctionne et les règles dos.rules jouent prfaitement leurs rôles
Merci à tous
Dernière édition par Zimt le 28 Sep 2005 20:36, édité 1 fois au total.
- Zimt
- Second Maître
- Messages: 32
- Inscrit le: 24 Sep 2005 20:52
par Zimt » 28 Sep 2005 20:39
Billou02 a écrit:Euh....
Le post a un d'un an ou je me trompe ?
Oui mais c'est sur ce topic que j'ai trouvé solution à un problème, et j'ai voulu y apporter ma pierre (ou plutôt mon petit gravier) en spécifiant les n°SID et le nom du fichier à modifier
Cordialement.
- Zimt
- Second Maître
- Messages: 32
- Inscrit le: 24 Sep 2005 20:52
13 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité