NAME

eventProtect - Script parametrico

SYNOPSIS

eventProtect NOME_EVENTO ESPRESSIONE_REG INTERVALLO SOGLIA_EVT SOGLIA_RED FREQ_EMAIL FILE_CONSENTITI NOTIFICA FILTER

DESCRIPTION

Utilizzato per applicare le regole specificate nel file di configurazione /etc/aLid/aLid.conf

OPTIONS

NOME_EVENTO

Specifica il nome dell'evento a cui viene associata la regola. Il nome dell'evento consente poi di identificare la regola che lancia una notifica o regola di drop. Il nome dell'evento e' univoco in tutte le regole.

ESPRESSIONE_REG

L'espressione regolare consente di verificare la presenza dei caratteri specificati all'interno di ogni riga del file in input. Quando una riga del file verifica l'espressione regolare allora cio' viene considerato come il presentarsi dell'evento monitorato dalla regola.

INTERVALLO

E' il valore, in secondi, della finestra temporale da analizzare. Sia N il valore dell'intervallo allora la finestra temporale da analizzare e' [ TEMPO_CORRENTE - N , TEMPO_CORRENTE ].

SOGLIA_EVT

E' il numero massimo di volte che l'evento rintracciato dall'espressione regolare (ESPRESSIONE_REG) può verificarsi all'interno della finestra temporale (INTERVALLO). L'ip sorgente, rintracciabile nel file in input, viene ritenuto responsabile. Al superamento della soglia aLid, in base alla configurazione, puo' bloccare l'ip sorgente o semplicemente notificare cio' che e' accaduto. Se un'ip viene bloccato, si tiene traccia anche del momento in cui cio' avviene, facendo riferimento al tempo universale (UTC) in secondi.

SOGLIA_RED

E' il numero di secondi nei quali un'ip bloccato non puo' comunicare attraverso la macchina dove e' installato aLid. Quando la soglia di redenzione viene raggiunta l'ip bloccato viene sbloccato ( redenzione ). Il superamento e' calcolato nel seguente modo:

SE ( TEMPO_CORRENTE - TEMPO_BLOCCO > SOGLIA_RED ) SBLOCCA L'IP BLOCCATO ALTRIMENTI L'IP BLOCCATO RESTA BLOCCATO

FREQ_EMAIL

Specifica la frequenza di invio della mail di notifica in secondi. E' opzionale ed e' subordinata alla presenza delle opzioni MAIL o LOG.

FILE_CONSENTITI

E' il path al file che contiene la lista degli ip immuni all'evento indicato dalla regola. Se viene rilevato un evento con un ip presente nel file FILE_CONSENTITI l'evento viene ignorato. Il file deve rispettare la seguente regola sintattica: ogni riga del file deve contenere solo un ip.

NOTIFICA

La tipologia di notifica adottata dalla regola. Sono previste 3 tipologia di opzioni: MAIL, LOG, ALL.

MAIL: Consente di inviare una mail di notifica a tutti gli indirizzi specificati nel file /etc/aLid/emails
LOG: Consente di scrivere una riga nel file di log (/etc/aLid/log) dell'applicazione.
ALL: Comprende entrambe le tipologie di notifiche MAIL e LOG.

FILTER

Specifica la politica da adottare riguardo gli ip rilevati dalla regola. Le opzioni accettate sono: DROP e NODROP.

DROP: Blocca l'ip rilevato nel firewall, applicando un'apposita regola.
NODROP: Non esegue nessuna regola di drop nel firewall.

NOTES

Lo script legge riceve le linee del file di input indicato nella regola attraverso lo stream <STDIN>.

EXAMPLES

eventProtect SPAMMING 5 10 5 7 /etc/aLid/ip_allowed_SPAMMING all drop

Esegue lo script con SPAMMING come nome evento, utilizzando un intervallo di 5 secondi, 10 tentativi massimi nella finestra temporale, 5 secondi come soglia di redenzione, 7 secondi e' la frequenza delle mail, ip_allowed_SPAMMING e' il nome del file utilizzato per specificare gli ip immuni all'evento, all e' la tipologia di notifica e drop il tipo di filtro.

FILES

/etc/aLid/aLid.conf

File di configurazione dell'applicazione

REQUIREMENT

arpwatch: Arpwatch - http://www.securityfocus.com/tools/142
DateTime: DateTime - Perl Library of cpan community

AUTHOR

Andrea Martire (andreamartire@gmail.com)

COPYRIGHT AND LICENSE

Copyright © 2010 Andrea Martire <andreamartire@gmail.com>. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law.

1 POD Error

The following errors were encountered while parsing the POD:

Around line 31:: Non-ASCII character seen before =encoding in 'può'. Assuming UTF-8

To install eventProtect, copy and paste the appropriate command in to your terminal.

cpanm

cpanm eventProtect

CPAN shell

perl -MCPAN -e shell
install eventProtect

For more information on module installation, please visit the detailed CPAN module installation guide.

	Global
`s`	Focus search bar
`?`	Bring up this help dialog

	GitHub
`g` `p`	Go to pull requests
`g` `i`	go to github issues (only if github is preferred repository)

	POD
`g` `a`	Go to author
`g` `c`	Go to changes
`g` `i`	Go to issues
`g` `d`	Go to dist
`g` `r`	Go to repository/SCM
`g` `s`	Go to source
`g` `b`	Go to file browse

	Search terms
module: (e.g. module:Plugin)
distribution: (e.g. distribution:Dancer auth)
author: (e.g. author:SONGMU Redis)
version: (e.g. version:1.00)