Logowanie

SNORT RULE “$EXTERNAL_NET” zamiast “any” Przecież to nie ma sensu. <bardzo proszę o opinie>

pytanie zadane 14 kwietnia 2018 w Systemy operacyjne, programy przez jagodowy Początkujący (260 p.)
edycja 14 kwietnia 2018 przez jagodowy

Witam,

Pobrałem wczoraj z bazy danych snorta RULE1, RULE2. Są one odpowiedzialne za detekcje konkretnego exploita w oprogramowaniu apache(nie istatne z punku widzenia pytania).

Obydwie zaczynają się tak:

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS

*Jak widać source IP jest skonfigurowany na $EXTERNAL_NET.

Jeżeli dobrze rozumiem to przy użyciu takiej składni atakujący z zewnętrznych sieci będą przez SNORTA odnotowani.

Natomiast hosty znajdujące się w tej samej sieci będą mogły spenetrować system bez żadnego alertu od SNORTA.

Czy jest jakiś sens ukryty za taką konfiguracją? Po co zostawiać możliwość ATAKU serwera hostom we własnej sieci?

Prosta zmiana $EXTERNAL_NET na "any" zapewniłaby notyfikacje o KAŻDYM ATAKU NA SERWER.

Dziwi mnie po prostu default w takiej postaci.

Zaloguj lub zarejestruj się, aby odpowiedzieć na to pytanie.

Podobne pytania

0 głosów

2 odpowiedzi 1,056 wizyt

Nie moge zainstlować snort na kali linux

pytanie zadane 24 lipca 2022 w Systemy operacyjne, programy przez kuchare47 Nowicjusz (140 p.)

+1 głos

1 odpowiedź 385 wizyt

Literatura dotycząca bezpieczeństwa (ale raczej nie CCNA Cisco ; )

pytanie zadane 20 kwietnia 2018 w Bezpieczeństwo, hacking przez NIMuser Stary wyjadacz (11,030 p.)

0 głosów

1 odpowiedź 546 wizyt

Wyłączenie możliwości dezaktywacji 2FA poprzez tryb ratunkowy (linux) - 2FA nie ma sensu?

pytanie zadane 4 marca 2023 w Systemy operacyjne, programy przez wodoyo Początkujący (480 p.)

...

SNORT RULE “$EXTERNAL_NET” zamiast “any” Przecież to nie ma sensu. <bardzo proszę o opinie>

Zaloguj lub zarejestruj się, aby skomentować.

Zaloguj lub zarejestruj się, aby odpowiedzieć na to pytanie.

Podobne pytania

O działaniu forum

Pasja informatyki w internecie

Polecane miejsca w sieci