Snort Falso Positivo
-
Boa noite, estou com um problema com o Snort, ele está bloqueando o site da globo.
Alguém sabe alguma configuração para evitar esses falsos positivos?? -
Sob qual alarme se dá o bloqueio?
É mesmo um falso positivo? O snort tem uma aderência estrita às definições da RFC, assim se algum site ou aplicação se desviar da norma ele irá ativar uma regra e ser bloqueado, por isso a configuração do snort leva algum tempo, até você avaliar todos os alarmes.
Um regra que é muito violada em sites brasileiros: espaço nas URLs sem o caracter de escape (""). Como é algo sem maiores consequências decidi desabilitar a regra que causava isso.
-
Boa noite, estou com um problema com o Snort, ele está bloqueando o site da globo.
Alguém sabe alguma configuração para evitar esses falsos positivos??Como o amigo já disse acima, e tbm procura usar o bom senso, como vc é da T.I, pegue o link analise ele, se vc acha que está tudo normal,
é só liberar. Essa analise do técnico é importantíssimo para o bom funcionamento do Snort. -
Seria interessante também você dá uma lida no próprio desenvolvedor do snort. De início eu apanhei bastante também com ele. Hoje já o tenho na mão.
-
Sob qual alarme se dá o bloqueio?
É mesmo um falso positivo? O snort tem uma aderência estrita às definições da RFC, assim se algum site ou aplicação se desviar da norma ele irá ativar uma regra e ser bloqueado, por isso a configuração do snort leva algum tempo, até você avaliar todos os alarmes.
Um regra que é muito violada em sites brasileiros: espaço nas URLs sem o caracter de escape (""). Como é algo sem maiores consequências decidi desabilitar a regra que causava isso.
Eu sou novo com o Snort. Poderia me ajudar onde e como eu consigo desabilitar essas regras?
-
Na própria aba de alerta tem os botões para ignorar as regras por host ou desativar a regra como um todo.
Mas reforço a dica de ficar afiado no entendimento das regras e protocolos.
-
Na própria aba de alerta tem os botões para ignorar as regras por host ou desativar a regra como um todo.
Mas reforço a dica de ficar afiado no entendimento das regras e protocolos.
Muito obrigado pela dica.
Existe alguma regra ou configuração do Snort onde ele faça o bloqueio ou gere um alerte de ransomwares?
-
O snort tem regras pra tudo, basicamente. Se seu ambiente é corporativo considere uma assinatura para ter as regras atualizadas diariamente. O pacote community é atualizado apenas uma vez por semana.