Perché lo snort utilizza solo la regola "alert"?

3

Tra le regole della comunità e le regole registrate, tutte sono solo regole di tipo "alert". Poiché ci sono più tipi di regole come log, pass, activate, dynamic, drop, sdrop disponibili, snort set di regole ufficiali usano solo il tipo di avviso. Perché altri tipi di regole non sono inclusi nelle serie di regole ufficiali snort?

    
posta Lakshmi Balan 04.10.2016 - 08:16
fonte

3 risposte

1

Is there any specific reason behind it to use only "alert" rule in all snort official rule sets?

È una precauzione di sicurezza. La definizione di tutte le corrispondenze con gli avvisi consente di installare inizialmente snort senza causare problemi agli utenti.

Immagina di essere nel team di rete creato per la prima volta nella tua organizzazione. Improvvisamente il tuo team di app riceve chiamate che il sito Web ha smesso di funzionare! Nessuno saprebbe il perché e sarebbe una grande emergenza. Alla fine, possiamo sperare che qualcuno sia abbastanza intelligente da scacciare Wireshark e scoprire questi strani pacchetti RST provenienti dalla nuova scatola snort. Quando sei andato a indagare sul motivo, hai scoperto che esisteva una regola di snort che corrispondeva a uno dei tuoi pacchetti esistenti ed era configurata per rifiutare, il che causava la morte della connessione legittima. Le persone della tua organizzazione sarebbero molto insoddisfatte di te.

Impostandoli prima agli avvisi, quando installi lo snort, la tua organizzazione non subirà alcun impatto. Ovviamente puoi (e dovresti) investigare su tutti gli avvisi che vedi. Vedrai che alcuni di essi saranno probabilmente falsi positivi - se qualcuno di questi è stato configurato per ripristinare le connessioni o rilasciare i pacchetti, lo snort sarebbe stato la causa di una catastrofe.

Il contrario è anche vero. Non impostandoli per registrare solo come impostazione predefinita, sono anche cauti nel non consentire che il traffico dannoso effettivo venga ignorato.

L'idea è che quando accendi lo snort, riceverai improvvisamente una serie di avvisi come parte del tuo normale traffico e dovrai valutarli tutti. La maggior parte avrà spiegazioni sicure e tu puoi scegliere di trasmetterle; alcuni saranno piuttosto strani e potresti scegliere di registrarli. Alcuni potrebbero essere avvisi legittimi dei dati che si desidera eliminare. E qualsiasi altra cosa tu scopra, beh, potrebbe essere davvero un brutto traffico che non vuoi sulla tua rete, quindi imposti quelli a cui rifiutare.

    
risposta data 20.10.2016 - 22:34
fonte
1

Il tipo di "avviso" è quello predefinito che può essere utilizzato se si desidera generare quel tipo di evento quando la firma corrisponde. Ad esempio, in base alle tue esigenze e per personalizzare l'utilizzo dell'applicazione, potresti non essere sempre avvisato.

Potresti voler impostare il tipo di "registro" per alcune regole che potrebbero essere troppo rumorose, in modo che tu possa analizzarle una volta al giorno, con qualche metodo analitico.

    
risposta data 20.10.2016 - 21:10
fonte
1

Bene, ALERT è le azioni delle regole predefinite. È più un problema di buone pratiche utilizzare ALERT come regola per le regole della comunità e le regole registrate. Nessuna ragione tecnica a mio avviso.

Ecco perché? Le altre opzioni delle azioni delle regole sono davvero specifiche dell'utente. Li utilizzerai solo per raggiungere uno scopo specifico o raggiungere un obiettivo specifico per la tua rete. Le regole della comunità e le regole registrate sono anche regole generali, molto probabilmente finirai per personalizzarle.

Inoltre, usare le altre azioni delle regole senza capire veramente come funzionano potrebbe essere dannoso, specialmente per le persone che sono nuove a sniffare. Ad esempio, perché dovresti avere una regola con un registro o ignorare le azioni nel set di regole predefinito? Questo potrebbe essere il comportamento desiderato nella distribuzione SNORT ma non per gli altri.

    
risposta data 20.10.2016 - 23:24
fonte

Leggi altre domande sui tag