Snort Falso Positivo



  • Boa noite, estou com um problema com o Snort, ele está bloqueando o site da globo.
    Alguém sabe alguma configuração para evitar esses falsos positivos??



  • Sob qual alarme se dá o bloqueio?

    É mesmo um falso positivo? O snort tem uma aderência estrita às definições da RFC, assim se algum site ou aplicação se desviar da norma ele irá ativar uma regra e ser bloqueado, por isso a configuração do snort leva algum tempo, até você avaliar todos os alarmes.

    Um regra que é muito violada em sites brasileiros: espaço nas URLs sem o caracter de escape (""). Como é algo sem maiores consequências decidi desabilitar a regra que causava isso.



  • @antonyzub:

    Boa noite, estou com um problema com o Snort, ele está bloqueando o site da globo.
    Alguém sabe alguma configuração para evitar esses falsos positivos??

    Como o amigo já disse acima, e tbm procura usar o bom senso, como vc é da T.I, pegue o link analise ele, se vc acha que está tudo normal,
    é só liberar. Essa analise do técnico é importantíssimo para o bom funcionamento do Snort.



  • Seria interessante também você dá uma lida no próprio desenvolvedor do snort. De início eu apanhei bastante também com ele. Hoje já o tenho na mão.



  • @jorlando:

    Sob qual alarme se dá o bloqueio?

    É mesmo um falso positivo? O snort tem uma aderência estrita às definições da RFC, assim se algum site ou aplicação se desviar da norma ele irá ativar uma regra e ser bloqueado, por isso a configuração do snort leva algum tempo, até você avaliar todos os alarmes.

    Um regra que é muito violada em sites brasileiros: espaço nas URLs sem o caracter de escape (""). Como é algo sem maiores consequências decidi desabilitar a regra que causava isso.

    Eu sou novo com o Snort. Poderia me ajudar onde e como eu consigo desabilitar essas regras?



  • Na própria aba de alerta tem os botões para ignorar as regras por host ou desativar a regra como um todo.

    Mas reforço a dica de ficar afiado no entendimento das regras e protocolos.



  • @marcelloc:

    Na própria aba de alerta tem os botões para ignorar as regras por host ou desativar a regra como um todo.

    Mas reforço a dica de ficar afiado no entendimento das regras e protocolos.

    Muito obrigado pela dica.

    Existe alguma regra ou configuração do Snort onde ele faça o bloqueio ou gere um alerte de ransomwares?



  • O snort tem regras pra tudo, basicamente. Se seu ambiente é corporativo considere uma assinatura para ter as regras atualizadas diariamente. O pacote community é atualizado apenas uma vez por semana.