Regras personalizadas para o Snort

Navegue suas respostas
2

Eu preciso permitir que determinado tráfego através do qual está sendo bloqueado por snort, por exemplo, ICMP de um endereço específico. Como posso fazer isso?

    
por keyoke 05.04.2011 / 14:10

2 respostas

4

Existem basicamente duas maneiras de fazer isso

  • suppress rule - Desativa o alerta em um SID específico com base na origem ou no destino
  • pass rule - Permitir que o tráfego corresponda à regra a ser passada sem verificar em relação a outras regras

Regras de aprovação
Útil para ignorar o tráfego de hosts que são conhecidos por gerar muitos alertas, mas também são conhecidos por serem confiáveis. Ferramentas de avaliação de vulnerabilidade são importantes. Eles são escritos na forma de qualquer outra regra de alerta, exceto que a instrução "pass" é usada em vez de "alerta". Se quisermos permitir todo o tráfego de um desses, poderemos usar: 

pass ip 10.10.8.200/32 any <> any any (msg: "Ignore all Network Health monitoring"; sid: 1000013;)

Esta é uma regra muito simples que irá ignorar qualquer tráfego IP com um endereço de origem de '10 .10.8.200 'com qualquer porta de origem indo para qualquer endereço em qualquer porta de destino.

Suprimir regras
Estes são usados principalmente para filtrar falsos positivos. Eles exigem que o administrador especifique mais informações sobre a regra, por exemplo, gen_id e sig_id, bem como as condições sob as quais ignorar. Digamos que nós tivéssemos um sistema que executa regularmente consultas de DNS reverso e, como tal, gera muitas consultas NXDOMAIN. Isso geralmente indica reconhecimento de rede, mas nesse caso é um comportamento esperado. Nós poderíamos ignorá-lo usando: 

suppress gen_id 1, sig_id 13948, track by_dst, ip 10.10.8.240

Para regras padrão de "alerta", o gen_id é sempre 1, o SID que queremos ignorar é 13948, e o host que realiza todas essas pesquisas é '10 .10.8.240 '.

Solicitação específica
Na situação em que você está planejando, você deve conseguir algo como: 

pass icmp 10.10.8.200/32 any <> any any (msg: "Ignore all ICMP Traffic by Host"; sid: 1000087;)

Semelhante à regra baseada em IP acima, isso deve ignorar qualquer tráfego ICMP que venha de '10 .10.8.200 ', independentemente de quem seja o destino.

Recursos adicionais

Essas regras podem, é claro, ficar mais complicadas, mas você vai querer ler mais alguma documentação sobre as especificidades. Sua melhor aposta é apenas fazer algumas pesquisas no google e dividi-las, mas a documentação útil que encontrei é (em nenhuma ordem específica):

por 05.04.2011 / 15:29
0

Ótima informação, e se eu quiser apenas suprimir uma única porta?

Eu quero fazer algo como 

suppress gen_id 1, sig_id 1394, track by_dst, ip 10.182.196.135:925

com 925 sendo minha porta interna para smtp. E-mails passando pelo smtp despejam uma carga de alertas que não preciso ver.

Isso funcionaria com a porta no final?

    
por 07.07.2011 / 04:05

Tags

desative http_proxy em centos É possível obter erros 404 mais conteúdo de volta?