Duda sobre snort
-
Saludos
tengo una duda sobre el funcionamiento del snort, sucede que lo instale, lo actualice en las reglas y realice pruebas, despues que me bloqueo un sin numero de ataques, empece a depurar las reglas y borre los logs dando en el boton de clear de la pestaña de Bloqued y volvi a correr el snrot.
mi pregunta es….ahora que esta corriendo detecta ciertas ip publicas que atacan en la pestaña de Alert, pero al buscarlas en la pestaña del Block no las encuentro para confirmar que esten bloqueadas, aunque en la parte de alertas asumo que ya estan bloqueadas porq no me da opciones de enviarlas a bloqueo, solo la opcion de ponerlas como suppres, se estan bloqueando o no?
-
saludos
consulta…una vez que snort bloquea las ip, limpio el historial, esas direciones ya quedan bloqueadaqs o no? porque me doy cuenta que vuelvo a sensar y ya no aparecen las ip, ademas estoy haciendo pruebas con un ataque y ya no me lo detecta, pero se mantiene bloqueada.
-
[Diagnostics] [Tables] [snortc]
Lo que esté en la tabla snortc queda bloqueado durante 30 minutos, si no recuerdo mal.
www.bellera.cat/josep/snort2pfsense
-
Al mirar la lista de alertas veras un pequeño botón "x" al lado derecho del IP para indicar que esta bloqueada. Si pulsas el botón "x" sera desbloqueada el IP. Si estas viendo alertas no bloqueadas asegurase que el IP no esta en ningún "whitelist," la regla en ninguna lista de "supress" y también que este configurado en las opciones del interfaz "Which ip to block" = "both."
-
ok losto…muchas gracias por la ayuda
