Witam,
Pobrałem wczoraj z bazy danych snorta RULE1, RULE2. Są one odpowiedzialne za detekcje konkretnego exploita w oprogramowaniu apache(nie istatne z punku widzenia pytania).
Obydwie zaczynają się tak:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
*Jak widać source IP jest skonfigurowany na $EXTERNAL_NET.
Jeżeli dobrze rozumiem to przy użyciu takiej składni atakujący z zewnętrznych sieci będą przez SNORTA odnotowani.
Natomiast hosty znajdujące się w tej samej sieci będą mogły spenetrować system bez żadnego alertu od SNORTA.
Czy jest jakiś sens ukryty za taką konfiguracją? Po co zostawiać możliwość ATAKU serwera hostom we własnej sieci?
Prosta zmiana $EXTERNAL_NET na "any" zapewniłaby notyfikacje o KAŻDYM ATAKU NA SERWER.
Dziwi mnie po prostu default w takiej postaci.