Re: Consiglio su Snort

Snort + syslog-ng

Syslog-ng ( http://www.balabit.hu/en/downloads/syslog-ng/ ) e' un ottimo
sostituto del syslogd che ti consente di fare 2 cose molto carine :

1) filtrare i messaggi in base al contenuto
2) eseguire programmi in base alle regole di filtraggio

Quindi, potresti redirigire il log completo di snort su syslog-ng , quindi
loggare tutto su un file tramite syslog-ng e nel caso in cui una particolare
stringa sia presente in un messaggio proveniente da snort, far eseguire un
comando ( invio mail, sms, regola ipchain/iptables.... )

Se prendi le rules di snort da www.whitehats.com , noterai che tutte hanno
un identificativo unico (IDSxxx) che ti puo' consentire facilmente di
decidere per quali alert far scattare la notifica.

Ciao

Amodiovalerio [Hypo] Verde

----- Original Message -----
From: "Roberto Palmarin" <roberto.palmarin@siag.it>
To: <ml@sikurezza.org>
Sent: Tuesday, June 04, 2002 12:37 PM
Subject: Consiglio su Snort


Buondí a tutti!
Abbiamo installato s snort su una macchina prima del FW, e da alcune
prove abbiamo visto che il numero di allarmi con le regole standard é
enorme.
Lo scopo finale era quello di ricevere degli allarmi (SMS o mail) in
caso di intrusione.
La domanda é quindi:
Come fare per non essere subbissati dagli allarmi?

Per risolvere questo problema avevo pensato di modificare tutte le
rules. Sapendo che la determinata macchina non soffre di un certo
attacco, la corrispondente rule logga sul database degli eventi. Se
invece la macchina é vulnerabile rispetto ad una certa rule, questa rule
logga nel database degli allarmi (da cui partono gli SMS).

Il problema é che il lavoro di tuning risulta molto oneroso, e anche
l'aggiornamento periodico delle rules.

Avete sicuramente una soluzione migliore da consigliarmi!

Grazie
~roberto



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List