|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Valentin Nechayev 2:5020/400 16 Dec 2003 02:03:58
To : Yuri PQ
Subject : Re: анализ логов snort'а
--------------------------------------------------------------------------------
>>> Yuri PQ wrote:
VN>> Хотя snort составил мне совершенно отвратное впечатление. Запуск по
VN>> дефолту начинает генерировать безумный поток мусора.
YP> а не нужно запускать по дефолту. снорту нужно как минимум объяснить сначала
YP> где у тебя "внутри", а где "снаружи"...
В данном случае у меня было только одно "снаружи".
VN>> Hапример, все запросы к прокси идут как попытка поиска прокси;))
YP> естественно! телепатический модуль к снорту поставляется за отдельные
YP> бешеные деньги.
Если это у тебя юмор такой, то он плохо пахнет.
OK, покажи, пожалуйста, как, _не трогая существующий набор правил в
/usr/local/share/snort_ (я подчеркнул), задать ему в конфиге следующее:
1. Исключить реакцию на правила sid:399 и sid:407, но не на другие
правила из icmp-info.rules.
2. Сработку правила 618 (поиск прокси) ограничить исключениями из варианта
"лезем с IP <нужное вписать> на фиксированный IP <нужное вписать>",
то есть всеми случаями, кроме разрешённых.
При этом snort должен продолжать воспринимать прочие виды активности с
этими хостами, то есть filter rule не должно трогаться.
Когда покажешь - покажи, где ты вычитал, как это делать, в документации
(а не углублённым RTFS). Если не покажешь или этого не будет в документации,
считаю, что этого сделать нельзя, с соответствующим выводом.
VN>> А вот внешнего конфига по отключению отдельных правил из его базы или
VN>> добавления условий (срабатывать если правило такое-то и при этом src
VN>> ip из такого-то диапазона, например) - нет. Или я чего-то недосмотрел?
YP> там масса переменных, причем не только означающих "внутри" и "снаружи". есть
YP> еще масса "сбоку"...
Hикакое "сбоку" тут мне не поможет.
VN>> Править его базы не предлагать.
YP> под "править" ты имеешь в виду изменение строк или даже их
YP> закомментаривание? :)
Да. Всё, что не может быть сделано прямым вписыванием в snort.conf.
-netch-
--- ifmail v.2.15dev5.1
* Origin: Dark side of coredump (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
