Bekijk Volledige Versie : Snort overgevoelig?
Sinds onze kernel update, inclusief alle standaard paketten is snort overgevoelig.
Hij blokkeert sommige mensen die via de online editor bestanden op de webserver aanpassen. (file manager)
Reden van blockage:
http://www.snort.org/pub-bin/sigs.cgi?sid=1497
Hoe op te lossen?
Als die alert/block onterecht is, dan is het voor jullie een false positive. Block die sid dan. Ook in oinkmaster uit zetten he.
Zie www.mrleejohn.nl/snortx.htm
Maar dan kunnen ze terug cross site scripting uitvoeren?
Als ik die controle afzet...
Klopt. Maar als die rule voor jullie niet werkt is het kiezen... veel alerts of de rule uitschakelen. Als bij mij thuis om de haverklap de alarm-installatie af zou gaan omdat mijn koffiezet-apparaat af en toe knippert, dan zou ik er wat aan doen; apparaat eruit of het alarm anders instellen.
Of het apparaat fixen. De scripts repareren. Of het hoekje met dat apparaat niet checken... dat ipadres niet/beperkt controleren.
Het is redelijk normaal dat je in een netwerk veel rules moet uitschakelen. Snort moet je een paar weken/maanden de tijd geven om te draaien. In die tijd bepaal jij welke alerts jij nodig hebt en welke niet.