[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Giugno 2002 ml@sikurezza.org Soggetto: Re: Consiglio su Snort Mittente: Federico Lombardo Data: 6 Jun 2002 17:39:39 -0000
Il problema del flood degli alerts è congenito alla struttura propria di snort. penso che l'unica effettiva soluzione sia la gestione degli alert su un db unificato, cosa che potrai leggere in qualche thread precedente su snort. Ho scritto un documentino sulla gestione dei ruletype di snort, in base agli alert, lo trovi su: https://mail.grandistazioni.it/federico/documenti/NIDS.pdf naturalmente non è nemmeno un draft e soprattutto tratta la gestione sotto un punto di vista logico e non pratico. Abbiate la compiacenza di comunicarmi eventuali correzioni :-D Spero ti sia d'aiuto, Federico. --- Original Message ----- From: "Amodiovalerio Verde" <amover@wipsrl.it> To: <ml@sikurezza.org> Sent: Wednesday, June 05, 2002 2:48 PM Subject: Re: Consiglio su Snort > Snort + syslog-ng > > Syslog-ng ( http://www.balabit.hu/en/downloads/syslog-ng/ ) e' un ottimo > sostituto del syslogd che ti consente di fare 2 cose molto carine : > > 1) filtrare i messaggi in base al contenuto > 2) eseguire programmi in base alle regole di filtraggio > > Quindi, potresti redirigire il log completo di snort su syslog-ng , quindi > loggare tutto su un file tramite syslog-ng e nel caso in cui una particolare > stringa sia presente in un messaggio proveniente da snort, far eseguire un > comando ( invio mail, sms, regola ipchain/iptables.... ) > > Se prendi le rules di snort da www.whitehats.com , noterai che tutte hanno > un identificativo unico (IDSxxx) che ti puo' consentire facilmente di > decidere per quali alert far scattare la notifica. > > Ciao > > Amodiovalerio [Hypo] Verde > > ----- Original Message ----- > From: "Roberto Palmarin" <roberto.palmarin@siag.it> > To: <ml@sikurezza.org> > Sent: Tuesday, June 04, 2002 12:37 PM > Subject: Consiglio su Snort > > > Buondí a tutti! > Abbiamo installato s snort su una macchina prima del FW, e da alcune > prove abbiamo visto che il numero di allarmi con le regole standard é > enorme. > Lo scopo finale era quello di ricevere degli allarmi (SMS o mail) in > caso di intrusione. > La domanda é quindi: > Come fare per non essere subbissati dagli allarmi? > > Per risolvere questo problema avevo pensato di modificare tutte le > rules. Sapendo che la determinata macchina non soffre di un certo > attacco, la corrispondente rule logga sul database degli eventi. Se > invece la macchina é vulnerabile rispetto ad una certa rule, questa rule > logga nel database degli allarmi (da cui partono gli SMS). > > Il problema é che il lavoro di tuning risulta molto oneroso, e anche > l'aggiornamento periodico delle rules. > > Avete sicuramente una soluzione migliore da consigliarmi! > > Grazie > ~roberto > > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005