|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Valentin Nechayev 2:5020/400 17 Dec 2003 11:12:47
To : Yuri PQ
Subject : Re: анализ логов snort'а
--------------------------------------------------------------------------------
>>> Yuri PQ wrote:
VN>>>>>> Хотя snort составил мне совершенно отвратное впечатление.
VN>>>>>> Запуск по дефолту начинает генерировать безумный поток мусора.
YP>>>>> а не нужно запускать по дефолту. снорту нужно как минимум
YP>>>>> объяснить сначала где у тебя "внутри", а где "снаружи"...
VN>>>> В данном случае у меня было только одно "снаружи".
YP>>> а прокси? тоже "снаружи"?
VN>> Да.
YP> этого не может быть, потому что в правиле на обнаружение попыток доступа к
YP> прокси явно указано: от "снаружи" к "внутри".
Hе знаю, как ты читаешь правила и почему решил, что такого не может
быть, но оно было именно так.
snort был поставлен по умолчанию. Hикаких заданий сеток снаружи/внутри
_не делалось_. Почему - потому что я хотел, чтобы он мне записывал
всякие сканы, приходящие извне попытки взлома и прочие странные вещи.
Так вот - TCP коннект с собственного IP тачки, на которой он стоял,
на прокси - был зафиксирован как попытка поиска прокси. Оба IP (откуда и куда)
мировые и за пределами любых RFC1918 и прочих частных сетей.
Я бы понял, если бы он сказал про пакет снаружи наружу. Или изнутри
наружу, как оно и было на самом деле. Hо снаружи внутрь - это как??
YP>>> тут ты прав, нет у него такой возможности. более того, основной
YP>>> конфиг лежит в одном месте, а правила - в другом. это мне тоже не
YP>>> нравится. но не настолько, чтобы отказаться от него. мне не трудно
YP>>> залезть в его правила и закомментарить ненужное.
VN>> А мне - трудно. Потому что потом апгрейдить, значит - обновлять
VN>> правила. И что, снова отключать неадекватные? Hу спасибо.
YP> есть правило local - сохрани его перед апгрейдом.
Меня не интересует _добавление_ правил, интересует _отключение_.
local такого не даст. Те разрешения, что SO описывал, не покроют все
правила, которые надо отключать.
-netch-
--- ifmail v.2.15dev5.1
* Origin: Dark side of coredump (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
