[RISOLTO] Come escludere ip utile agli aggiornamenti ma bloccato da SNORT



  • Ciao ragazzi,
    ho bisogno di aggiornare il sistema in un pc ma snort mi impedisce continuamente di farlo perche mi blocca questo indirizzo ip: 90.147.160.69 (utile per gli apt-get update) e mi costringe alla rimozione dei "blocchi" manualmente.

    Voi come fareste per inserirlo in una lista protetta?

    Grazie in anticipo.



  • Ciao, prima di tutto definisciti una lista di host in "Firewall" -> "Aliases" dove andrai ad inserire gli IP che verranno esclusi da SNORT.
    Una volta che hai assegnato il nome a questa lista e hai salvato devi andare nel menù di SNORT "Pass Lists" e specificare il nome della lista nel campo "Add custom IP Addresses from configured Aliases."

    Salva e riavvia il servizio, controlla i log e verifica.
    Ciao.



  • Ciao Zanotti,

    ti ringrazio per la tua risposta che vedo è adatta allo scopo, ma ho già rimediato alcuni giorni fa sfruttando una altro metodo che dovrebbe essere lo stesso, correggimi se sbaglio, e che ti espongo:

    • nel momento che mi viene bloccato l'indirizzo IP da snort addiritura dal tab di Alerts, vado a premere l'iconcina + nel campo corrispondente al Source che mi visualizza la scritta "Add this alert to the Suppress List and track by_src IP" e così facendo quell'indirizzo prima bloccato viene messo nell'elenco dei Soppressi e non mi si ripresenta più il problema.

    Quindi senza creare alias ma mettendolo direttamente nei soppressi non viene più bloccato.

    Tu cosa ne pensi di questa soluzione?



  • Ciao, la tua soluzione potrebbe essere adatta al tuo scopo, la differenza tra il mio esempio e il tuo è che tu hai aggiunto un IP ad una lista di soppressione, ovvero istruisci SNORT a sopprimere quel determinato allarme per quel determinato IP. Di conseguenza quell'IP verrà ignorato per quella specifica regola ma potrebbe farne scattare altri trigger. Di regola la soppression list dà un controllo molto esteso e granulare dei trigger di SNORT, e ritengo sia la via migliore per imparare a capire come funziona l'IDS. Se hai una serie di IP di cui puoi fidarti ciecamente allora puoi usare anche l'esempio cui ti avevo scritto nel post prima.



  • In effetti tu hai ragione: "istruisci SNORT a sopprimere quel determinato allarme per quel determinato IP….". Di conseguenza quell'IP verrà ignorato per quella specifica regola ma potrebbe farne scattare altri trigger...

    Ecco perchè la Suppress list non è altro che l'elenco delle tracce non ancora approvvate definitivamente a causa di possibili falsi positivi che potrebbero anche non esserlo perchè determinati da nostre valutazioni errate.

    Credo che lascerò ancora quel piccolo elenco creato nella Suppress list e, a poco a poco lo sposterò nella Pass list.

    Grazie Zanotti