4. Snort Falso Positivo

Snort Falso Positivo

  • A

    Boa noite, estou com um problema com o Snort, ele está bloqueando o site da globo.
    Alguém sabe alguma configuração para evitar esses falsos positivos??

    0
  • J

    Sob qual alarme se dá o bloqueio?

    É mesmo um falso positivo? O snort tem uma aderência estrita às definições da RFC, assim se algum site ou aplicação se desviar da norma ele irá ativar uma regra e ser bloqueado, por isso a configuração do snort leva algum tempo, até você avaliar todos os alarmes.

    Um regra que é muito violada em sites brasileiros: espaço nas URLs sem o caracter de escape (""). Como é algo sem maiores consequências decidi desabilitar a regra que causava isso.

    0

  • @antonyzub:

    Boa noite, estou com um problema com o Snort, ele está bloqueando o site da globo.
    Alguém sabe alguma configuração para evitar esses falsos positivos??

    Como o amigo já disse acima, e tbm procura usar o bom senso, como vc é da T.I, pegue o link analise ele, se vc acha que está tudo normal,
    é só liberar. Essa analise do técnico é importantíssimo para o bom funcionamento do Snort.

    0

  • Seria interessante também você dá uma lida no próprio desenvolvedor do snort. De início eu apanhei bastante também com ele. Hoje já o tenho na mão.

    0
  • A

    @jorlando:

    Sob qual alarme se dá o bloqueio?

    É mesmo um falso positivo? O snort tem uma aderência estrita às definições da RFC, assim se algum site ou aplicação se desviar da norma ele irá ativar uma regra e ser bloqueado, por isso a configuração do snort leva algum tempo, até você avaliar todos os alarmes.

    Um regra que é muito violada em sites brasileiros: espaço nas URLs sem o caracter de escape (""). Como é algo sem maiores consequências decidi desabilitar a regra que causava isso.

    Eu sou novo com o Snort. Poderia me ajudar onde e como eu consigo desabilitar essas regras?

    0

  • Na própria aba de alerta tem os botões para ignorar as regras por host ou desativar a regra como um todo.

    Mas reforço a dica de ficar afiado no entendimento das regras e protocolos.

    0
  • A

    @marcelloc:

    Na própria aba de alerta tem os botões para ignorar as regras por host ou desativar a regra como um todo.

    Mas reforço a dica de ficar afiado no entendimento das regras e protocolos.

    Muito obrigado pela dica.

    Existe alguma regra ou configuração do Snort onde ele faça o bloqueio ou gere um alerte de ransomwares?

    0
  • J

    O snort tem regras pra tudo, basicamente. Se seu ambiente é corporativo considere uma assinatura para ter as regras atualizadas diariamente. O pacote community é atualizado apenas uma vez por semana.

    0
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy