[Pluto-security] Snort alert

[Beppe]

Ciao!

On Wed, 2003-04-16 at 10:21, Fabio Panigatti wrote:
> > Esattamente. Pensi che sia meglio indicare qualcosa tipo:
> > = ! HOME_NET
> 
> Be', non necessariamente... era solo un'osservazione.
> Con una conf
> come la tua e' piu' probabile avere falsi positivi,

Direi parecchi falsi positivi. Di recente ho fatto una piccola ricerca
personale analizzando gli alert di SNORT che ho meticolosamente
conservato quasi fossero fumetti da collezione :o)
A parte il fatto che di tanto in tanto ne appare sempre qualcuno di
nuovo, (va beh... ma normale routine altrimenti dov'è il bello del gioco
:) ) e su questa immondizia mi fiondo puntualmente a controllare che
realmente sia stata bloccata , ma grosso modo ho potuto notare che la
TOP entry degli alert la detengono sempre le voci 'SHELLCODE X86'. Di
questi alert ne ho registrati parecchi.
Ammetto di non essere un grande esperto di snort ma in merito a questi
alert mi è venuto il dubbio che siano spesso generati dalle normali
attività dei client. O cmq. dal traffico entrante in direzione di
qualche client
Se non sbaglio nel file di configurazione di snort è presente la voce
sulle SHELLCODE, appena possibile controllo, magari in qualche maniera
si possono anche diminuire questo genere di falsi positivi! 
 

> ma in compenso
> puoi vedere, ad esempio, anche gli eventuali "attacchi" tentati da
> qualcuno dei tuoi utenti ai danni di qualcun'altro su internet.
> E'
> una questione di scelte.

Sono d'accordo, infatti se ricordi il thread era nato prorio per una
segnalazione che proveniva dall'interno verso l'esterno. Si, magari c'è
un po di lavoro in piu' in termini di controllo ma... dall'altra parte
non sono solo i server ad essere bucati :)

Ciao e grazie Beppe

> _______________________________________________
> pluto-security mailing list
> pluto-security at lists.pluto.linux.it
> http://lists.pluto.linux.it/mailman/listinfo/pluto-security