PDA

Bekijk Volledige Versie : Snort overgevoelig?



klasje.be
14/02/06, 23:31
Sinds onze kernel update, inclusief alle standaard paketten is snort overgevoelig.

Hij blokkeert sommige mensen die via de online editor bestanden op de webserver aanpassen. (file manager)

Reden van blockage:
http://www.snort.org/pub-bin/sigs.cgi?sid=1497

Hoe op te lossen?

mrleejohn
14/02/06, 23:35
Als die alert/block onterecht is, dan is het voor jullie een false positive. Block die sid dan. Ook in oinkmaster uit zetten he.

Zie www.mrleejohn.nl/snortx.htm

klasje.be
14/02/06, 23:49
Maar dan kunnen ze terug cross site scripting uitvoeren?
Als ik die controle afzet...

mrleejohn
15/02/06, 09:15
Klopt. Maar als die rule voor jullie niet werkt is het kiezen... veel alerts of de rule uitschakelen. Als bij mij thuis om de haverklap de alarm-installatie af zou gaan omdat mijn koffiezet-apparaat af en toe knippert, dan zou ik er wat aan doen; apparaat eruit of het alarm anders instellen.

Of het apparaat fixen. De scripts repareren. Of het hoekje met dat apparaat niet checken... dat ipadres niet/beperkt controleren.

Het is redelijk normaal dat je in een netwerk veel rules moet uitschakelen. Snort moet je een paar weken/maanden de tijd geven om te draaien. In die tijd bepaal jij welke alerts jij nodig hebt en welke niet.