Come può un amministratore scegliere quali regole Snort abilitare?

Naviga le tue risposte
9

Lo scopo è configurare Snort come IDS per monitorare l'attività di rete e avvisare contro il set standard di cose che un IDS dovrebbe mettere in guardia contro - > attacchi di overflow del buffer, iniezione attacchi, port scan & perdite di informazioni per citarne alcuni o, in generale, i tentativi di rilevare / sfruttare vulnerabilità, perdita di dati riservati ed eludere le politiche.

Come si suppone un amministratore di rete decidere quali regole Snort deve abilitare per la sua rete?

Come si usa una lista dei file .rules da usare e le regole (in esse) da abilitare?

    
posta pnp 04.09.2012 - 10:22
fonte

1 risposta

3

Hai appena fatto la domanda più decisiva che ha un enorme impatto sul rilevamento. È un lavoro a tempo pieno tedioso (piuttosto interessante) e continuo per ottimizzare l'IDS, specialmente nelle reti di grandi dimensioni.

Regole generali

  • Molto importante. Conosci bene il tuo ambiente! Non ci sono scuse questo requisito. Devi sapere cosa stai proteggendo, in rete range, applicazione, come funziona l'applicazione e sono sviluppati su - inclusi i tipi di server web (iis, apache ecc.), i sistemi operativi (Linux, Windows, Cisco roba ecc.), tecnologia (asp, php, java ecc.), altri prodotti (erp, database ecc.) e, soprattutto, che tipo di dati (ssn, informazioni bancarie, PII ecc.).
  • Studia e compila un elenco di tutte le informazioni di cui sopra, e segmenti di rete appropriati in cui risiedono. Fornirà una mappa chiara delle firme di cui si ha realmente bisogno, se tutti i server Web eseguono IIS con ASP .net quindi non sono necessarie firme PHP. Se si è una banca, si desidera attivare la maggior parte delle firme di perdita di dati, sarà necessario effettuare questa categorizzazione e ordinare i tipi di regole necessarie.
  • Lasciate le firme standard come Port Scan, attività dannose, worm / virus principali ecc. attivi su IDS, sono sempre di aiuto.
  • Migliora e aggiorna regolarmente l'elenco, monitora le modifiche nel file ambiente, nuovo software / applicazione aggiunti alla firma aggiornata elenco, quindi selezionare eventuali nuovi aggiornamenti delle firme.
risposta data 04.09.2012 - 14:20
fonte

Leggi altre domande sui tag

Come tracciare un attacco DDOS su un server dedicato e bloccarlo? Come iniziare con DNSSEC?