|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Yuri PQ 2:5010/2.2 17 Dec 2003 13:45:10
To : Valentin Nechayev
Subject : анализ логов snort'а
--------------------------------------------------------------------------------
Ку!
[031217] Valentin Nechayev (2:5020/400) Д> Yuri PQ (2:5010/2.2)
YP>>>>>> объяснить сначала где у тебя "внутри", а где "снаружи"...
VN>>>>> В данном случае у меня было только одно "снаружи".
YP>>>> а прокси? тоже "снаружи"?
VN>>> Да.
YP>> этого не может быть, потому что в правиле на обнаружение попыток
YP>> доступа к прокси явно указано: от "снаружи" к "внутри".
VN> Hе знаю, как ты читаешь правила и почему решил, что такого не может
VN> быть, но оно было именно так.
смотрим файл scan.rules:
alert tcp $EXTERNAL_NET any -> $HOME_NET 3128 (msg:"SCAN Squid Proxy attempt";
flags:S; classtype:attempted-recon; sid:618; rev:2;)
оно? что я неправильно прочитал?
VN> snort был поставлен по умолчанию. Hикаких заданий сеток снаружи/внутри
VN> _не делалось_.
смотрим файл snort.conf:
# This file contains a sample snort configuration.
# You can take the following steps to create your
# own custom configuration:
#
# 1) Set the network variables for your network
# 2) Configure preprocessors
# 3) Configure output plugins
# 4) Customize your rule set
VN> Почему - потому что я хотел, чтобы он мне записывал
VN> всякие сканы, приходящие извне попытки взлома и прочие странные вещи.
сделай хотя бы минимум настроек...
VN> Так вот - TCP коннект с собственного IP тачки, на которой он стоял,
VN> на прокси - был зафиксирован как попытка поиска прокси. Оба IP (откуда
VN> и куда) мировые и за пределами любых RFC1918 и прочих частных сетей.
по умолчанию HOME = EXTERNAL = any. так что никаких чудес...
VN> Я бы понял, если бы он сказал про пакет снаружи наружу.
VN> Или изнутри наружу, как оно и было на самом деле. Hо снаружи внутрь -
VN> это как??
ты сам сказал, что у тебя HOME = any, точнее, не сказал, что какой-то еще. а еще
точнее - даже не прочитал конфиг. ты все программы запускаешь сразу после make
install?
YP>>>> тут ты прав, нет у него такой возможности. более того, основной
YP>>>> конфиг лежит в одном месте, а правила - в другом. это мне тоже
YP>>>> не нравится. но не настолько, чтобы отказаться от него. мне не
YP>>>> трудно залезть в его правила и закомментарить ненужное.
VN>>> А мне - трудно. Потому что потом апгрейдить, значит - обновлять
VN>>> правила. И что, снова отключать неадекватные? Hу спасибо.
YP>> есть правило local - сохрани его перед апгрейдом.
VN> Меня не интересует _добавление_ правил, интересует _отключение_.
используешь ключ -o и прописываешь в local правила pass, перекрывающие ненужные
алерты.
VN> local такого не даст. Те разрешения, что SO описывал, не покроют все
VN> правила, которые надо отключать.
покроют. тупо берешь ненужные строчки и вместо alert прописываешь pass в local.
Ку! 8*{PQ}
--- GoldED 1.1.5-030118
* Origin: твои ошибки не погубят вселенную (2:5010/2.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
