• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

SNORT RULE “$EXTERNAL_NET” zamiast “any” Przecież to nie ma sensu. <bardzo proszę o opinie>

VPS Starter Arubacloud
0 głosów
100 wizyt
pytanie zadane 14 kwietnia 2018 w Systemy operacyjne, programy przez jagodowy Początkujący (260 p.)
edycja 14 kwietnia 2018 przez jagodowy

Witam,

Pobrałem wczoraj z bazy danych snorta RULE1, RULE2. Są one odpowiedzialne za detekcje konkretnego exploita w oprogramowaniu apache(nie istatne z punku widzenia pytania).

Obydwie zaczynają się tak:

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS

*Jak widać source IP jest skonfigurowany na $EXTERNAL_NET.

Jeżeli dobrze rozumiem to przy użyciu takiej składni atakujący z zewnętrznych sieci będą przez SNORTA odnotowani. 

Natomiast hosty znajdujące się w tej samej sieci będą mogły spenetrować system bez żadnego alertu od SNORTA.

 

Czy jest jakiś sens ukryty za taką konfiguracją? Po co zostawiać możliwość ATAKU serwera hostom we własnej sieci?

Prosta zmiana $EXTERNAL_NET na "any" zapewniłaby notyfikacje o KAŻDYM ATAKU NA SERWER. 

Dziwi mnie po prostu default w takiej postaci.

 

 

Zaloguj lub zarejestruj się, aby odpowiedzieć na to pytanie.

Podobne pytania

0 głosów
2 odpowiedzi 659 wizyt
+1 głos
1 odpowiedź 203 wizyt
0 głosów
1 odpowiedź 254 wizyt

92,454 zapytań

141,262 odpowiedzi

319,088 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...