Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Snort Falso Positivo

    Scheduled Pinned Locked Moved Portuguese
    8 Posts 5 Posters 990 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      antonyzub
      last edited by

      Boa noite, estou com um problema com o Snort, ele está bloqueando o site da globo.
      Alguém sabe alguma configuração para evitar esses falsos positivos??

      1 Reply Last reply Reply Quote 0
      • J
        jorlando
        last edited by

        Sob qual alarme se dá o bloqueio?

        É mesmo um falso positivo? O snort tem uma aderência estrita às definições da RFC, assim se algum site ou aplicação se desviar da norma ele irá ativar uma regra e ser bloqueado, por isso a configuração do snort leva algum tempo, até você avaliar todos os alarmes.

        Um regra que é muito violada em sites brasileiros: espaço nas URLs sem o caracter de escape (""). Como é algo sem maiores consequências decidi desabilitar a regra que causava isso.

        1 Reply Last reply Reply Quote 0
        • andrezaomacA
          andrezaomac
          last edited by

          @antonyzub:

          Boa noite, estou com um problema com o Snort, ele está bloqueando o site da globo.
          Alguém sabe alguma configuração para evitar esses falsos positivos??

          Como o amigo já disse acima, e tbm procura usar o bom senso, como vc é da T.I, pegue o link analise ele, se vc acha que está tudo normal,
          é só liberar. Essa analise do técnico é importantíssimo para o bom funcionamento do Snort.

          Consultoria em Servidores Linux/Windows.
          contato@andrenetwork.com.br

          Tecnólogo em Redes de Computadores.
          Bacharel em Sistemas da Informação.


          http://www.andrenetwork.com.br

          Limeira - SP

          1 Reply Last reply Reply Quote 0
          • danilosv.03D
            danilosv.03
            last edited by

            Seria interessante também você dá uma lida no próprio desenvolvedor do snort. De início eu apanhei bastante também com ele. Hoje já o tenho na mão.


            :)
            |E-mail: danilosv.03@gmail.com
            |Skype: danilosv.03


            1 Reply Last reply Reply Quote 0
            • A
              antonyzub
              last edited by

              @jorlando:

              Sob qual alarme se dá o bloqueio?

              É mesmo um falso positivo? O snort tem uma aderência estrita às definições da RFC, assim se algum site ou aplicação se desviar da norma ele irá ativar uma regra e ser bloqueado, por isso a configuração do snort leva algum tempo, até você avaliar todos os alarmes.

              Um regra que é muito violada em sites brasileiros: espaço nas URLs sem o caracter de escape (""). Como é algo sem maiores consequências decidi desabilitar a regra que causava isso.

              Eu sou novo com o Snort. Poderia me ajudar onde e como eu consigo desabilitar essas regras?

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                Na própria aba de alerta tem os botões para ignorar as regras por host ou desativar a regra como um todo.

                Mas reforço a dica de ficar afiado no entendimento das regras e protocolos.

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • A
                  antonyzub
                  last edited by

                  @marcelloc:

                  Na própria aba de alerta tem os botões para ignorar as regras por host ou desativar a regra como um todo.

                  Mas reforço a dica de ficar afiado no entendimento das regras e protocolos.

                  Muito obrigado pela dica.

                  Existe alguma regra ou configuração do Snort onde ele faça o bloqueio ou gere um alerte de ransomwares?

                  1 Reply Last reply Reply Quote 0
                  • J
                    jorlando
                    last edited by

                    O snort tem regras pra tudo, basicamente. Se seu ambiente é corporativo considere uma assinatura para ter as regras atualizadas diariamente. O pacote community é atualizado apenas uma vez por semana.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.