Snort - Duvidas sobre Alertas



  • Olá Pessoal…

    Estava analisando os logs do Snort e recentemente reparei que o snort está bloqueando coisas estranhas como "Malware" e "Redirecionamentos " em portas que estão fechadas (1066 / 44215), não tenho elas liberadas no firewall,
    por isso pergunto, Como evitar que o Snort faça tal ação, por que se chegou nele é por que "hacker" obteve algum acesso correto?

    Estou utilizando a defasada versão 2.2.6 (Não atualizei ainda por que utilizo o pacote pf2ad então uma atualização simples não resolveria.. )

    Abraços,

    Diego



  • @didonsom:

    Como evitar que o Snort faça tal ação, por que se chegou nele é por que "hacker" obteve algum acesso correto?

    Não entendi. Você quer evitar que o snort bloqueie uma invasão na sua rede? ???



  • @marcelloc:

    @didonsom:

    Como evitar que o Snort faça tal ação, por que se chegou nele é por que "hacker" obteve algum acesso correto?

    Não entendi. Você quer evitar que o snort bloqueie uma invasão na sua rede? ???

    Marcelo,

    Na verdade eu queria evitar de outras formas, tipo antes de chegar no snort manja ? pq eu entendo q o snort é o último  o recurso e se passar por  ele ….
    O pior é  q essas tentativas, estão acontecendo com mais frequência, por isso questionei...
    E as portas q tentaram acesso não estão liberadas .. aí por isso q surgiu a dúvida

    Abraços

    Diego



  • As portas não estão liberadas, mas eles fazem a busca via IP publico. Depois disso utilizam scans em portas especificas nesses IPs. Quem sabe tu poe um pfblockerng. Dá uma pesquisada nele.