In questo post ho spiegato come effettuare un tuning minimale dei preprocessori di cui si avvale snort 2.9.0.5. Ora, invece, vedremo come disabilitare tutte quelle regole che potrebbero generare dei falsi positivi.
Per prima cosa posizioniamoci nella directory /etc/snort/rules:
nightfly@nightbox:~$ cd /etc/snort/rules
Lanciamo un ls per visualizzare il contenuto della dir:
nightfly@nightbox:/etc/snort/rules$ ls
il cui outuput sarà simile al seguente:
attack-responses.rules misc.rules snmp.rules
backdoor.rules multimedia.rules specific-threats.rules
bad-traffic.rules mysql.rules spyware-put.rules
blacklist.rules netbios.rules sql.rules
ecc.
Come è facile intuire, esiste un file *.rules per ogni possibile minaccia, dove ciascun file contiene tutta una serie di regole che identificano i tentativi di attacco. Ad esempio, analizzando il file attack-responses.rules, noteremo delle entry del tipo:
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"ATTACK-RESPONSES directory listing"; flow:established; content:"Volume Serial Number"; classtype:bad-unknown; sid:1292; rev:9;)
alert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ATTACK-RESPONSES command completed"; flow:established; content:"Command completed"; nocase; metadata:policy balanced-ips drop, policy security-ips drop, service http; reference:bugtraq,1806; classtype:bad-unknown; sid:494; rev:13;)
alert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ATTACK-RESPONSES command error"; flow:established; content:"Bad command or filename"; nocase; classtype:bad-unknown; sid:495; rev:10;)
E' possibile disabilitare una qualunque entry semplicemente commentandola (ovvero inserendo un # ad inizio riga). Però, per evitare che tale entry ritorni attiva dopo l'aggiornamento delle regole mediante oinkmaster, dobbiamo operare direttamente sul file /etc/oinkmaster.conf:
nightfly@nightbox:/etc/snort/rules$ sudo nano /etc/oinkmaster.conf
aggiungendo la direttiva disablesid seguida dall'sid dell'alert che ci interessa (ad esempio 1292 per ATTACK-RESPONSES directory listing):
disablesid 1292
Salviamo il file, riavviamo snort con un sudo service snort restart ed abbiamo finito.
A presto.
![Google Drive: creare mettere online vostro primo sito [Guida]](https://m21.paperblog.com/i/288/2882379/google-drive-creare-e-mettere-online-il-vostr-L-zb8ZMk-175x130.jpeg)
Pacman
Nostradamus
Magical Cat Adventure
Snake