Publicado: Lun May 12, 2008 7:17 pmAsunto: Snort - Como reducir falsos positivos???
Hola a todos... nuevamente
Dspues de seguir experimentando con Sgui/Snort y con todas las perts funcionando, y con un sensor ya en el Site capturando el trafico de toda la red, pero he visto, de unos dias para aca, muchos falsos posutivos, algunos como portscans, backdoors, "double decode attack", y alertas like "WEB-MISC ...","WEB-PHP ... access", "portscan: TCP Portsweep" y parecidas.
"WEB-CGI ... access","WEB-PHP ... access","WEB-FRONTPAGE ... access", "WEB-IIS view source..." son generados cuando se suben archivos al portal o pagina web de la universidad.
"http_inspect: BARE BYTE UNICODE ENCODING" u "http_inspect: OVERSIZE REQUEST-URY DIRECTORY" son debido creo yo al navegar o utilizar de alguna manera la pagina web.
"portscan: OPEN PORT" no muestra nada en la seccion de carga util (payload) y "portscan: TCP PortSweep" muestra puertos HTTP, los "escaneos" OpenPorts y PortSweep son peticiones a una ip en particular, supongo que ha de ser un servidor web con Win2 (Apache or IIS)...
entonces, como puedo agregar reglas o restricciones para evitar que se generen esas alertas ???
supongo que podria agregar algo en la seccion sfportscan con las opciones ignore_scanners{} o ignore_scanned {} de snort.conf, pero no se si solo agregando la ip del servidor web sera suficiente . El manual de Snort en PDF no ayuda mucho que digamos.
...y hay otras alertas como "http_inspect: DOUBLE DECODING ATTACK" de IPs locales a otras (no se si sean partes de algun segmento de los muchos que conforman la red de la Unversidad)
es posible reducir ese tipo de falsos positivos pero manteniendo o permitiendo que se generen las alertas reales???
agradecieria la orientacion que me puedan dar.
Gracias por adelantado.
Sales pues _________________ Blaise Pascal: "Vale más saber alguna cosa de todo, que saberlo todo de una sola cosa."
Publicado: Mar May 13, 2008 11:48 amAsunto: Re: Snort - Como reducir falsos positivos???
no, pos no...
le agregue la IP a ignore_scanneds {} pero no se ve la diferencia, bueno al parecer parece que ya no se generan tantos, pero se siguen generando las de WEB-PHP, WEB-CGI.
todas las otras alertas se siguen generando, y la mayoria son referentes a actividades de la Universidad como mencione arriba.
alguna idea???
Sales pues _________________ Blaise Pascal: "Vale más saber alguna cosa de todo, que saberlo todo de una sola cosa."
Publicado: Mar May 20, 2008 6:22 pmAsunto: Re: Snort - Como reducir falsos positivos???
utilize ignore_scanners {} y agregue dos bloques de direcciones de la red segura (las declaradas en HOME_NET), y se redujeron un poco las alertas de portscan, ademas comente la linea referente a las alertas WEB_PHP y WEB-CGI y ya no aparecen....
...aunque esto no es lo ideal, ya que el chiste es detectar los ataques mayores asi como detectar el trafico malicioso que aparenta ser normal...
como dijera Richard Bejtlich: "Por cada atacante realmente capacitado hay miles de chavalines con guiones"
Sales pues _________________ Blaise Pascal: "Vale más saber alguna cosa de todo, que saberlo todo de una sola cosa."
No puedes publicar nuevos temas en este foro No puedes responder a temas en este foro No puedes editar tus mensajes en este foro No puedes borrar tus mensajes en este foro No puedes votar en encuestas en este foro
Reglamento general de los foros
FAQ
Buscar
Grupos de usuarios
Miembros
Perfil
Mensajes privados
