[Pluto-security] Snort alert

[Fabio Panigatti]

> alert di SNORT che ho meticolosamente conservato quasi fossero fumetti
> da collezione :o)

...ahem...

$ du --max-depth=0 -m /var/log/snort*
383     /var/log/snort.archive
186     /var/log/snort

> TOP entry degli alert la detengono sempre le voci 'SHELLCODE X86'.
> Ammetto di non essere un grande esperto di snort ma in merito a
> questi alert mi è venuto il dubbio che siano spesso generati dalle
> normali attività dei client. O cmq. dal traffico entrante in
> direzione di qualche client

Esattamente.

> Se non sbaglio nel file di configurazione di snort è presente la
> voce sulle SHELLCODE, appena possibile controllo, magari in qualche
> maniera si possono anche diminuire questo genere di falsi positivi!

Alcune regole shellcode cercano pattern che ricorrono con molta
frequenza nei file grafici, soprattutto ps e pdf, ma anche altri.
Queste regole usano la variabile $SHELLCODE_PORTS, che nella conf
di default e' impostata a !80. Il risultato e' che questi pattern
vengono cercati anche nel traffico richiesto dai client, con la
conseguente generazione di falsi positivi quando questi scaricano
un pdf, per esempio. Se vuoi ridurre i falsi positivi puoi usare
solo le porte dei tuoi server per la variabile $SHELLCODE_PORTS.
Questo non consente di rilevare eventuali bof destinati ai client
(cosa, peraltro, assai poco frequente). Un altro possibile sistema
potrebbe essere di allungare i pattern delle regole shellcode, ma
questo avrebbe un notevole impatto sulle prestazioni in caso di
elevato traffico (poco rilevante, comunque, per una connessione
xDSL) e porterebbe ancora a falsi positivi in caso di stream audio
video, che possono contenere sequenze anche molto lunghe di quei
pattern.


Fabio