Ola pessoal
instalei o snort no meu gateway e tenho algumas duvidas...
primeiro onde eu encontro atualizações de rules??
fui no snort.org, me cadastrei e o maximo que consegui foi baixar um arquivo que contem arquivos modo texto, com tipos de vulnerabilidades, correções, etc...
mas eu quero as rules!!
e também, ele gera muitos alertas que acredito eu serem desnecessários, por exemplo aquele http inspect... que é um alerta criado por um dos preprocessors, nesses preprocessors eu não mexi nada, deixei default...
eu posso bloquear esses acessos?
como? se a opçao de resetar (resp:rst_all,icmp_all) só é aplicada nos arquivos rules e nao nos preprocessors? obs: eu criei uma var $RESETAR com essa opção.
ou esses acessos são normais?
se são normais então eu devo comentar esse preprocessor pra nao me encher o log com informações desnecessarias?
estou bem desorientado...
essa var $RESETAR eu a adicionei em todas as regras...
até ai tudo bem, mas eu peguei um programinha vagabundo de brute force, o unsecury, e ele passa aqui normalmente e o snort nem gerqa log!! fico louco com isso.
na minha Home_net eu coloquei o meu ip valido e na external_net deixei any.
quando executo ele coloco a opção -i eth1 que é a conexão de internet.
ele roda legal, pq por exemplo eu fiz uma regra chamada teste.rules e fiz assim:
alert tcp $EXTERNAL_NET any -> HOME_NET 22 (msg:"bloqueado";$RESETAR
e assim ninguem mais entra aqui na 22 e ele gera o log certinho...
entao ele nao bloqueou meu programinha de brute force pq eu nao tenho uma regra que se enquadre nesse ataque??
mas esse programinha é bem simples e antigo!!! e se eu nao tenho uma regra que bloqueie nem isso então meu ids é uma merda!!!
alguém saberia me dizer algum programa que o snort barre mesmo? com suas rules default...
#@$¨%@#%@#$%
me ajudem please....vou ser despedido...
um abraço a todos...
Fernando.