|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Slawa Olhovchenkov 2:5030/500 16 Dec 2003 02:39:08
To : Valentin Nechayev
Subject : анализ логов snort'а
--------------------------------------------------------------------------------
16 Dec 03, Valentin Nechayev writes to Yuri PQ:
VN>>> Hапример, все запросы к прокси идут как попытка поиска прокси;))
YP>> естественно! телепатический модуль к снорту поставляется за отдельные
YP>> бешеные деньги.
VN> Если это у тебя юмор такой, то он плохо пахнет.
VN> OK, покажи, пожалуйста, как, _не трогая существующий набор правил в
VN> /usr/local/share/snort_ (я подчеркнул), задать ему в конфиге следующее:
VN> 1. Исключить реакцию на правила sid:399 и sid:407, но не на другие
VN> правила из icmp-info.rules.
VN> 2. Сработку правила 618 (поиск прокси) ограничить исключениями из варианта
VN> "лезем с IP <нужное вписать> на фиксированный IP <нужное вписать>",
VN> то есть всеми случаями, кроме разрешённых.
VN> При этом snort должен продолжать воспринимать прочие виды активности с
VN> этими хостами, то есть filter rule не должно трогаться.
Hу я не могу сказать что у них рекомендован оч.удобный способ, но он
рекомендован.
/usr/local/share/snort/local.rules
pass udp 195.239.136.144 any -> 195.239.136.193 161
pass icmp $EXTERNAL_NET any -> 195.239.136.194 any
pass tcp 213.180.194.129 80 -> 195.239.136.194 any
Hу а ты вместо этих строчек прописываешь правила из сигнатур. То, что тут
отматчится -- сигнатурами проверяться не будет.
VN> Когда покажешь - покажи, где ты вычитал, как это делать, в
VN> документации (а не углублённым RTFS). Если не покажешь или этого не
VN> будет в документации, считаю, что этого сделать нельзя, с
VN> соответствующим выводом.
Или в факе или в чем-то еще таком-же общем.
За $50 могу найти :)
YP>> под "править" ты имеешь в виду изменение строк или даже их
YP>> закомментаривание? :)
VN> Да. Всё, что не может быть сделано прямым вписыванием в snort.conf.
Hу впиши напрямую. Один хрен инклюдится.
... И вновь я не замечен Plug-n-Play'ем...
--- GoldED+/BSD 1.1.5
* Origin: (2:5030/500)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
