Forum Debian Users Gang

Snorta trzymaj za firewallem, to nie będziesz miał problemów.
Bo w internecie jest tyle śmiecia, różnych przeadresowanych i zwalonych pakietów, spory ruch wirusów i innych robaków, które szukają ofiar, że można w tym utonąć.

W dodatku 99% danych w bazie masz bezwartościowych.
W dodatku, jeśli włączyłeś wszystkie zestawy  reguł Snorta, to masz też sporo fałszywych ataków, dotyczących usług, których w ogóle nie masz w sieci.

Snorta najlepiej spiąć  ze Snortsamem lub Guardianem, żeby blokował połączenia,wtedy się przynajmniej na coś przyda - będzie działał jako IPS.

Może też np logować podejrzaną aktywność wewnątrz sieci lokalnej, wykrywając maszyny zainfekowane robakiem sieciowym.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-05 23:27:08)

Przeniosłem, bo to nie ogłoszenie

Odpal sobie Base do Snorta, i ta, o ile pamiętam, przy każdym alercie będzie link do strony opisującej dane zagrożenie ,o ile pamiętam, bo snorta nie używam od jakiegoś czasu inaczej, jak IPS z Guardianem, w logi nie zaglądam, o ile wszystko działa jak należy.
A to widzę po adresach dorzucanych do fw.

Edyta:
Zamień zlecenie na czytanie ze zrozumieniem:

# alert tcp $EXTERNAL_NET any -> $HOME_NET 20034 (msg:"BACKDOOR NetBus Pro 2.0 connection request"; flow:to_server,established; content:"BN |00 02 00|"; depth:6; content:"|05 00|"; depth:2; offset:8; flowbits:set,backdoor.netbus_2.connect; flowbits:noalert; classtype:misc-activity; sid:3009; rev:4;)
# alert tcp $HOME_NET 20034 -> $EXTERNAL_NET any (msg:"BACKDOOR NetBus Pro 2.0 connection established"; flow:from_server,established; flowbits:isset,backdoor.netbus_2.connect; content:"BN|10 00 02 00|"; depth:6; content:"|05 00|"; depth:2; offset:8; classtype:trojan-activity; sid:115; rev:12;)

To kawałek backdoor.rules.
Przy każdej regule jest komentarz z nazwą np NetBus Pro 2.0

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-05 23:27:55)