Versão Imprimível
Ai povos,
Curioso eu resolvi testar umas coisas apenas... :P
Quero rodar nessus de um ponto com IP FIXO, nos servidores que dou suporte e administro (no total mais de 40), todos eles possuem SNORT + Guardian.
Bem, o que acontece eh que eu estou colocando meu IP FIXO na HOME_NET para que eu pudesse scanear os ips sem ser detectado como ataque, porem o Snort continua detectando como ataque e acabo sendo barrado. :@: Alguem jah tento isso? :P :P :P
Valeu :P
faz tempo q num uso snort, mas ai inves de botar ele na home_net, o snort tem uma variavel acho q eh "ignore_host" pra colocar outros ips
Essa variavel IGNORE_HOST nao existe :P
mas tem a rule portscan-ignorehosts que jah usa o HOME_NET...
E deu uma luz que resolvi :P :P
com a variavel EXTERNAL_NET
var EXTERNAL_NET any
entao mudei para:
var EXTERNAL_NET ![200.xx.xx.xx/32]
Ele verifica tudo, menos o meu ip :P
Cara mudando um pouco o rumo do topico seguinte meu snort ta detectando muito a saida de requisições vinda de uma maquina de testes minha, para outras maquinas, sendo que essa maquina so tem ela na rede e so snort, tpo tem como fazer ele não logar essas requisições vinda da minha maquina??Citação:
Postado originalmente por DropALL
falows
Veio, para nao logar de jeito nenhum c faz o que eu fiz agora... poe a excessao no EXTERNAL_NET
Blz vo testar e depois te dou um toque.Citação:
Postado originalmente por DropALL
falows
Hum... compricado, jah nao tah barrando quase mais "nada", mas tem coisa que ainda tah barrando, tipo: "TFTP GET passwd"