Strumenti dello scanner di vulnerabilità da utilizzare con Snort

Question

Strumenti dello scanner di vulnerabilità da utilizzare con Snort

#1 da (1 voti)
#2 da (0 voti)

1

Abbiamo in programma di aggiungere Snort con il firewall per la nostra rete per migliorare la sicurezza. Lo scopo, oltre alla protezione dal traffico dannoso, è quello di personalizzare Snort per rilevare e bloccare il traffico specifico secondo le nostre esigenze. Quindi in pratica scriverò le regole per Snort per le nostre esigenze specifiche. Ma prima di iniziare, ho bisogno di utilizzare uno strumento di scansione delle vulnerabilità - per conoscere le vulnerabilità che non vengono rilevate al momento dalla combo Snort-firewall, e quindi posso iniziare a scrivere regole per Snort per quelle vulnerabilità. Data la mia situazione, posso avere suggerimenti per lo strumento giusto? So solo alcuni nomi come Nessus, Metaslpoit, OpenVAS, nmap ....

vulnerability-scanners snort

posta pnp 18.05.2012 - 08:20

fonte

2 risposte

0

Non proverei a implementare snort per rilevare gli scanner. È necessario implementare snort per rilevare attacchi e sonde contro le tue risorse. Senza sapere cosa si intende proteggere, non è possibile scrivere regole valide. Rilevare una scansione per dire tooltalk, quando non lo esegui nemmeno ti dirà, qualcuno sta eseguendo uno scanner vuln configurato male.

risposta data 18.05.2012 - 11:20

fonte

Leggi altre domande sui tag vulnerability-scanners snort

Informazioni sulla sonda phpMyAdmin? Webmail davvero sicuro

score 1 · Accepted Answer

Basta scaricare la distro Backtrack 5 (http://www.backtrack-linux.org/downloads/) in quanto è gratuita e viene fornita con Nmap, Nessus, Metasploit, Openvas e molto altro. IMHO, nmap è lo scanner migliore ma ognuno ha le sue preferenze. Metasploit ha una bella integrazione con nmap

Out of the box Snort rileverà molte delle scansioni predefinite perché i pacchetti inviati hanno una firma / modulo che è stata pubblicata per anni e quindi è ben nota.

Inoltre, in questi giorni c'è così tanta scansione in rete che le persone (a torto oa ragione) generalmente ignorano tale rumore sui firewall o sui sistemi ids / ips.

Faresti meglio a fare il passo in più e vedere cosa puoi rilevare o pubblicare la fase di scansione (supponendo che tu abbia il permesso di lanciare ulteriori attacchi / test). Uno scanner di vulnerabilità non ti dirà necessariamente quali attacchi sono possibili, ma solo quali sono le vulnerabilità che i tuoi sistemi hanno (e potrebbero essere falsi positivi).