[Pluto-security] Snort alert

Beppe beppebz at tin.it
Sat Apr 19 00:45:18 CEST 2003


Parlando di "Re: [Pluto-security] Snort alert" Fabio Panigatti ha scritto:
> > alert di SNORT che ho meticolosamente conservato quasi fossero fumetti
> > da collezione :o)
>
> ...ahem...
>
> $ du --max-depth=0 -m /var/log/snort*
> 383     /var/log/snort.archive
> 186     /var/log/snort

ah fai il collezionista anche tu ? immagino che siano tutti numeri storici :o)

> > TOP entry degli alert la detengono sempre le voci 'SHELLCODE X86'.
> > Ammetto di non essere un grande esperto di snort ma in merito a
> > questi alert mi è venuto il dubbio che siano spesso generati dalle
> > normali attività dei client. O cmq. dal traffico entrante in
> > direzione di qualche client
>
> Esattamente.

Appunto ... come immaginavo, troppi alert nonostante la maggior parte del 
traffico sia lecito!

> > Se non sbaglio nel file di configurazione di snort è presente la
> > voce sulle SHELLCODE, appena possibile controllo, magari in qualche
> > maniera si possono anche diminuire questo genere di falsi positivi!
>
> Alcune regole shellcode cercano pattern che ricorrono con molta
> frequenza nei file grafici, soprattutto ps e pdf, ma anche altri.
> Queste regole usano la variabile $SHELLCODE_PORTS, che nella conf
> di default e' impostata a !80. Il risultato e' che questi pattern
> vengono cercati anche nel traffico richiesto dai client,

+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
DAL MESSAGGIO SUCCESSIVO:
>...e un altro risultato e' che non vengono controllati i
>bof diretti verso i tuoi server web. Non l'ho mai capita 
>la configurazione di default.
+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

Quindi tutto il traffico meno che quello sensibile...
sinceramente neanche io capisco la logica di questa scelta; mah!

> Se vuoi ridurre i falsi positivi puoi usare
> solo le porte dei tuoi server per la variabile $SHELLCODE_PORTS.

Basta questo...credo che sia la soluzione migliore! 
Mi sa tanto che devo mettere mano all configurazione di SNORT ;o)
Grazie delle preziose info mi hanno illuminato :) ... a presto

Beppe

>
> Fabio
>
> _______________________________________________
> pluto-security mailing list
> pluto-security at lists.pluto.linux.it
> http://lists.pluto.linux.it/mailman/listinfo/pluto-security



More information about the pluto-security mailing list