Snort - Duvidas sobre Alertas

didonsom

Olá Pessoal…

Estava analisando os logs do Snort e recentemente reparei que o snort está bloqueando coisas estranhas como "Malware" e "Redirecionamentos " em portas que estão fechadas (1066 / 44215), não tenho elas liberadas no firewall,
por isso pergunto, Como evitar que o Snort faça tal ação, por que se chegou nele é por que "hacker" obteve algum acesso correto?

Estou utilizando a defasada versão 2.2.6 (Não atualizei ainda por que utilizo o pacote pf2ad então uma atualização simples não resolveria.. )

Abraços,

Diego

marcelloc

@didonsom:

Como evitar que o Snort faça tal ação, por que se chegou nele é por que "hacker" obteve algum acesso correto?

Não entendi. Você quer evitar que o snort bloqueie uma invasão na sua rede? ???

didonsom

@marcelloc:

@didonsom:

Como evitar que o Snort faça tal ação, por que se chegou nele é por que "hacker" obteve algum acesso correto?

Não entendi. Você quer evitar que o snort bloqueie uma invasão na sua rede? ???

Marcelo,

Na verdade eu queria evitar de outras formas, tipo antes de chegar no snort manja ? pq eu entendo q o snort é o último  o recurso e se passar por  ele ….
O pior é  q essas tentativas, estão acontecendo com mais frequência, por isso questionei...
E as portas q tentaram acesso não estão liberadas .. aí por isso q surgiu a dúvida

Abraços

Diego

empbilly

As portas não estão liberadas, mas eles fazem a busca via IP publico. Depois disso utilizam scans em portas especificas nesses IPs. Quem sabe tu poe um pfblockerng. Dá uma pesquisada nele.