Duvidas na utilização do - Snort
-
Olá Pessoal,
Instalei o snort e estou testando ele em modo de alerta para entender um pouco como funciona..
queria esclarecer umas duvidas.. nos alertas sempre recebo as informações abaixo..
(http_inspect) SIMPLE REQUEST
(ssp_ssl) Invalid Client HELLO after Server HELLO Detected ( essa aqui é indevida? )
(http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE
(smtp) Attempted response buffer overflow: 545 chars
como identificar se algo está fora do normal? como o snort avisa se algo é indevido??
outra duvida, se eu mudar ele para bloquear, terei muitos problemas com falso positivos? é fácil desbloquear a requisição?
Desculpe a falta de conhecimento, mas estou querendo utilizar essa ferramenta.
Obrigado
abraços
diego
-
Sim vc desbloqueia via GUI mesmo, nos logs de alerta vc clica no botão +.
Você pode criar uma lista de endereços que nunca será bloqueados.