[FUG-BR] FreeBSD 6.1 + Snort 2.6 + OSSEC (falso alerta?)
Welkson Renny de Medeiros
welkson em focusautomacao.com.br
Sábado Agosto 19 10:23:26 BRT 2006
Bom dia senhores,
Seguinte, a alguns meses venho utilizando o Snort 2.6 em um FreeBSD 6.1
STABLE... para bloquear os ips dos atacantes no firewall utilizo o OSSEC
(www.ossec.net, projeto de um brasileiro :).
Tenho acompanhado os relatórios de ataques utilizando o BASE
(http://base.secureideas.net/).
Tem dia que verifico no firewall a quantidade de IPs bloqueados (ipfw table
1 list) e realmente fico assustado, às vezes tem mais de 50... (os ips são
removidos da lista automaticamente após 24hs)... o que estou achando
estranho é o seguinte... às vezes hospedo algum arquivo no meu apache e peço
para algum amigo baixar, com poucos minutos ele reclama que o site não está
mais no ar, quando checo no firewall ele foi bloqueado... ele não tentou
nenhum tipo de ataque contra meu servidor, não sei o que posso fazer na
configuração do Snort para diminuir esses "falso-alerta"... as mensagens
geralmente são essas:
(http_inspect) DOUBLE DECODING ATTACK
(http_inspect) BARE BYTE UNICODE ENCODING
ICMP Destination Unreachable Communication Administratively Prohibited
Essa primeira é a que mais aparece... isso em um simples download ao meu
host... alguém da lista usa Snort e pode comentar sobre o assunto?
Bom fim de semana.
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
Mais detalhes sobre a lista de discussão freebsd