thiago_th
(usa Red Hat)
Enviado em 06/05/2013 - 10:45h
Bom dia,
Sei que esta sessão é voltada ao SNORT, mas não achei uma sessão onde criar este tópico sobre problemas no HLBR.
Antes de tudo, irei decrever o meu cenário:
Utilizo um servidor proxy rodando com o OpenSuse 11.4. Utilizo Regras firewall/iptables, squid 2.7 stable e squigGuard. Neste servidor possuo 2 placas de rede: a eth0 faz comunicação com a internet e a eth1 com a rede interna.
Recentemente decidi implementar a segurança da minha rede com o HLBR. Baixei os pacotes, instalei e configurei tudo corretamente. Ao iniciar o HLBR, ele carrega todas as 119 regras default e lê corretamente os arquivos de configuração. O problema é que sempre que qualquer micro da rede acessa um site, aparece a seguinte mensagem durante a execução do HLBR (Executei ele diretamente no console justamente para verificar se está funcionando corretamente):
FAILED TO WRITE PACKET TO INTERFACE ETH0
FAILED TO WRITE PACKET TO INTERFACE ETH1
Tentei simular ataques para ver se ele estava detectando os ataques, e constatei que não está.
O que pode estar errado? Será alguma permissão? Algum arquivo ausente? Versão do Kernel?
Desde já, agradeço pela ajuda de todos!
Segue meu arquivo de configuração do HLBR:
-----------------------------------------------
#SESSÃO DE CONF. GERAL
<system>
Name=ServerProxy
ID=1
Threads=1
AlertHeader=%ac %d/%m/%y %h:%min:%s %sip:%sp->%dip:%dp
PidFile=/var/run/hlbr.pid
</system>
#SESSÃO INTERFACES
<interface eth0>
Type=linux_raw
Proto=Ethernet
</interface>
<interface eth1>
Type=linux_raw
Proto=Ethernet
</interface>
#SESSÃO IPLISTS
<IPList www>
192.168.1.15 #É O ENDEREÇO DA PLACA ETH1
</list>
<IPList dns>
AQUI COLOQUEI OS ENDEREÇOS DO DNS DO MEU PROVEDOR DE INTERNET
</list>
<IPList rede_interna>
192.168.1.0/24
</list>
<IPList email>
AQUI COLOQUEI O ENDEREÇO DO MEU SERVIDOR DE EMAIL
</list>
<IPList firewall>
192.168.1.15
</list>
<IPList gateway>
AQUI COLOQUEI O ENDEREÇO DO MEU GATEWAY DE INTERNET
</list>
<IPList servers>
www
dns
email
firewall
gateway
</list>
#SESSÃO ACTIONS
<action action1>
response=alert file(/var/log/hlbr/hlbr.log)
response=dump packet(/var/log/hlbr/hlbr.dump)
response=drop
</action>
<action action2>
response=alert file(/var/log/hlbr/hlbr-2.log)
response=dump packet(/var/log/hlbr/hlbr-2.dump)
</action>
<action virus>
response=alert file(/var/log/hlbr/virus.log)
response=dump packet(/var/log/hlbr/virus.dump)
response=drop
</action>
#SESSÃO ROUTING
<routing>
SBridge(eth0, eth1)
</routing>
#SESSÃO DECODER
<decoder http>
OPTIONS,GET,HEAD,POST
</decoder>
-------------------------------------------------------