Snort falsos positivos mal mal

xub

Hola ayer se me ocurrio probar snort hoy ya lo estoy sacando….
primero lo probe aca en casa

me bolqueo las paginas donde escucho radios on line

luego me bolquea youtube !!!!!!! no ya es el colmo

solo imaginar a los usuarios mañana que les bloqueo 20 paginas .... lo vuelo ya !!!

bellera

snort precisa de bastante ajuste de sus reglas (patrones), en función de lo que se desee.

Es una magnífica herramienta pero su puesta a punto es laboriosa.

will23b

Snort necesita de bastante analisi par ala implementacion…..lo utilizo para detectar virus ...trojanos ...clientes ptp ...etc....sino que tienes que estar siempre monitoreandolo

xub

le di una segunda oportunidad en casa …
y la verdad que no me animo a ponerlo en la empresa ...

Hace cosas poco confiables para mi gusto...

Osea desde bloquearme todas las paginas para escuchar radios on line hasta bloquearme youtube, luego al abrir una pagina de un diario (una pagina de noticias) solo veia el texto y no se veia el contenido de videos o fotos ...

Sin mencionar que de mis tres conexiones VPN un día de la nada me bloqueo la ip de unas de las VPN

También tengo montado un servidor Asterisk Virtual para hacer unas pruebas en casa ... de la nada me boqueo la ip del celular de un amigo y si dejaba pasar la ip de otros dos amigos jajaja y mejor no cuento que estuve como 3 horas viendo  que le pasaba al servidor Asterisk hasta que me di cuenta que era el Snort !!!

Imagínense el desastre que puede ser ponerlo en la empresa
Así como de la nada bloquea ips me llega a bloquear las ips de la vpn de una sucursal que esta a 60 km de mi trabajo me matan !!!

No se si habrá alguna solución mejor que snort

Saludos

bellera

@bellera:

snort precisa de bastante ajuste de sus reglas (patrones), en función de lo que se desee.

Es una magnífica herramienta pero su puesta a punto es laboriosa.

Tu problema es que tienes que ajustar los patrones según tus necesidades…

No puedes cargar los patrones y no mantenerlos.

bellera

@xub:

Así como de la nada bloquea ips me llega a bloquear las ips de la vpn de una sucursal que esta a 60 km de mi trabajo me matan !!!

Se excluyen IPs…

Google snort rules how to

acriollo

Creo que snort no es instalable en el modo "siguiente .. siguiente" tipo windows.  :)

Saludos