[linux] Snort hlasi spustu alertov

Miroslav Cabarka mirodoma na arka.sk
Sobota Červen 15 23:15:54 CEST 2002


> > pred par dnami som spustil snort a o par hodin som mal v /var/log/snort
> > radovo desiatky IP adries (teda adresarov) s udajnymi atakmi. Pri
> > blizsom pohlade su to obycajne pripojenia mailovych serverov, napriklad
> > aj lists.linux.sk (147.175.66.133), s obycajnymi mailami.
> >
> > V /etc/snort/smtp.rules je to hned prve pravidlo, podla references je
> > to akysi pokus o ziskanie roota na LotusNotes mail serveri. Kedze tento
> > soft mi tam nebezi, uvazujem o zakomentovani toho pravidla.
> >
> > Chcem sa spytat skusenejsich, ci je zakomentovanie takychto pravidiel
> > to spravne riesenie tohto problemu.
>
> Ak ti to vyvolava zbytocny false positive a nemas ten soft, ktory
> to ma akoze exploitovat, tak jednoznacne. Kazdopadne si zapis, co si
> spravil, pretoze pravidla je vhodne pravidelne upgradovat.
>
> V tvojej konfiguracii vidim vsak uplne iny problem a tym je sposob
> logovania. Nikdy nepouzivaj toto logovanie podla IP adries, je velmi
> pomale a dokazem ti vytvorit tisice adresarov s fajlami vo filesysteme,
> prides o inody.

Som na dost tenkej linke, rychlost nie je problematicka, skor ta moznost 
DoS je neprijemna.

>
> Ak ti mozem odporucit, pouzi logovanie do nejakej databazy a ACID
> (analysis console for intrusion detection) pripadne logovanie cez
> syslog, ked sa velmi branis databaze. Ale myslim, ze snort bez ACIDa
> velmi nema vyznam.

Pozeral som nejake stranky o ACID, ale zda sa mi to prilis komplikovane 
(zbytocne). Najprv asi zozobieram trochu skusenosti so samotnym snortom, 
mozno potom. Nepotrebujem graficke vyobrazenia vsetkeho mozneho, okrem 
toho, ta masina je stara sunka, P120, 72MB, asi by apache+PHP+MySQL ani 
neutiahla. Nechce sa mi nasadzovat na to nieco lepsie.  

Vdaka za pomoc.
-- 
Ing. Miroslav Cabarka
mirodoma na arka.sk




Další informace o konferenci linux