|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Valentin Nechayev 2:5020/400 16 Dec 2003 12:42:18
To : Yuri PQ
Subject : Re: анализ логов snort'а
--------------------------------------------------------------------------------
>>> Yuri PQ wrote:
VN>>>> Хотя snort составил мне совершенно отвратное впечатление. Запуск
VN>>>> по дефолту начинает генерировать безумный поток мусора.
YP>>> а не нужно запускать по дефолту. снорту нужно как минимум
YP>>> объяснить сначала где у тебя "внутри", а где "снаружи"...
VN>> В данном случае у меня было только одно "снаружи".
YP> а прокси? тоже "снаружи"?
Да.
VN>>>> Hапример, все запросы к прокси идут как попытка поиска прокси;))
YP>>> естественно! телепатический модуль к снорту поставляется за
YP>>> отдельные бешеные деньги.
VN>> Если это у тебя юмор такой, то он плохо пахнет.
VN>> OK, покажи, пожалуйста, как, _не трогая существующий набор правил в
VN>> /usr/local/share/snort_ (я подчеркнул), задать ему в конфиге
VN>> следующее: 1. Исключить реакцию на правила sid:399 и sid:407, но не на
VN>> другие правила из icmp-info.rules.
YP> тут ты прав, нет у него такой возможности. более того, основной конфиг лежит
YP> в одном месте, а правила - в другом. это мне тоже не нравится. но не
YP> настолько, чтобы отказаться от него. мне не трудно залезть в его правила и
YP> закомментарить ненужное.
А мне - трудно. Потому что потом апгрейдить, значит - обновлять правила.
И что, снова отключать неадекватные? Hу спасибо.
-netch-
--- ifmail v.2.15dev5.1
* Origin: Dark side of coredump (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
