IDS Suricata Umgang mit Alerts (false positiv)
-
Hallo,
vorweg, ich habe die Frage schon im IDS Forum gepostet, aber kein Feedback erhalten.
https://forum.pfsense.org/index.php?topic=131787.0Verwendet einer von euch Suricata?
Ich bin in diesem Gebiet noch Anfänger und versuche derzeit die Alerts zu verstehen und vor allem damit umzugehen.Derzeit habe ich viele Alerts die meine WAN IP und den Port meines VPN Servers betreffen:
06/07/2017 16:22:58 3 TCP Generic Protocol Command Decode 87.xxx.xxx.xxx 1194 88.xxx.xxx.xxx 47547 1:2210029 SURICATA STREAM ESTABLISHED invalid ackMir ist derzeit noch unklar wie ich damit umgehen, die ganze Regel deaktivieren?
Src IP kann ich nicht auf ignorieren stellen, die wechselt sich ja ständig.
Dst IP ist meine WAN, auch die kann ich nicht auf ignorieren stellen, sonst wird ja das ganze WAN Interface nicht mehr
betrachtet.Würde mich über ein Feedback sehr freuen.
-
Hi,
diese meldungen erhalte ich auch, habe aber in snort vorher solche meldungen interessanderweise nicht erhalten.du könntest diesen alarm komlett auf die supress-liste setzen, dann taucht dieser alarm nicht mehr auf, egal von wo nach wo es geht.
wenn ich mich richtig erinnere, habe ich aber irgendwo gelesen, dass es nicht sinnvoll ist, alarme komplett auf die supress-liste zu setzen, da suricata den traffic weiter nach dieser traffic-eigenart untersucht -> verbraucht also unnötig systemressourcen.ich habe diese (und einige ähnliche) daher auf meinen wan-interfaces deaktiviert, damit deshalb niemand geblockt wird.
auf meinen lan-interfaces tauchen diese alarme bisher nicht auf, daher sind die da noch aktiv. -
ich habe diese (und einige ähnliche) daher auf meinen wan-interfaces deaktiviert, damit deshalb niemand geblockt wird.
Unter "Alerts" für das WAN Interface dann einfach auf das rote X klicken, richtig?
-
genau.
solltest du mal einen falschen anklicken und deaktivieren, kannst du das bei dem interface unter rules wieder aktivieren.