Domande con tag 'ids'

domande con tag
9
risposte

Rintracciare un access point canaglia

Nel corso di circa un mese abbiamo ricevuto più segnalazioni di un access point canaglia che tentava di intercettare il traffico. Sospetto che un utente malintenzionato stia utilizzando un ananas wifi o un dispositivo hardware simile. Sembrano...
posta 18.01.2012 - 08:36
1
risposta

OSSEC - firewall-drop non funziona per la regola 5701

Sto configurando un OSSEC in modalità locale (su CentOS 7) per fungere da IPS per un comportamento specifico. Sto cercando di usare il firewall-drop ma non funziona (ho notato che lo script non può vedere srcip ). lascia che ti mostri alcune us...
posta 11.07.2017 - 18:23
0
risposte

Snort regole uricontent

Sto riscontrando dei problemi che regolano le regole che controllerebbero il comportamento HTTP dell'utente (indirizzo della pagina, parametri POST / GET ..). alert tcp any any -> any any (msg:"Alfa in uri"; flow:to_server,established; uric...
posta 10.06.2017 - 21:30
0
risposte

Snort funziona bene con le regole della comunità. Dopo aver importato il set completo usando oinkmaster, non riesce a generare avvisi

Fondamentalmente ho configurato il mio Snort e funziona bene con le regole della community. Gli avvisi arrivano perfettamente quando si esegue una scansione NMAP e altri test. Il problema è che dopo aver installato la versione registrata dell...
posta 29.08.2016 - 21:42
0
risposte

Snort matching su singoli pacchetti

Per un'attività specifica, mi piacerebbe abbinare le regole di snort ai primi 1-2 pacchetti di ogni flusso nella rete senza attendere gli altri pacchetti di flusso successivi. Posso farlo con lo snort? Se sì, come?     
posta 28.01.2016 - 01:45
1
risposta

Snort: gli eventi del preprocessore Arpspoof non vengono visualizzati nell'interfaccia utente di BASE

Ho seguito questa guida per installare Snort, utilizzando Barnyard2, BASE, IIS e MySql. Il mio Snort è attivo e amp; in esecuzione e vengono registrati molti eventi. Dopo aver eliminato alcuni falsi positivi, volevo testare il preprocessore...
posta 21.04.2015 - 06:43
2
risposte

Dispositivi di sicurezza diversi da firewall e IDS [chiuso]

Stavo solo studiando su firewall e IDS / IPS e avevo un dubbio. Sono questi i due principali dispositivi di sicurezza su cui un'azienda investe? o ci sono altri dispositivi e controlli di sicurezza?     
posta 08.05.2015 - 02:47
0
risposte

È possibile eseguire snort senza modificatori?

Esiste comunque (ad esempio qualche argomento della riga di comando) con cui possiamo dire snort per eseguire ed eseguire il rilevamento ma senza preoccuparci dei modificatori di regole se ce ne sono? ad es. alert tcp any any -> any any...
posta 11.12.2014 - 16:53
1
risposta

Personalizza un sistema di rilevamento delle intrusioni per la comunicazione seriale

La maggior parte dei sistemi di rilevamento delle intrusioni che conosco è per la comunicazione IP. Ma, supponiamo di avere una comunicazione seriale, cioè CAN o RS485. Su questa comunicazione seriale ci sono protocolli personalizzati che comuni...
posta 11.02.2015 - 09:56
0
risposte

problema con la mia regola di snort

Ho scritto questa regola ma quando provo a ricaricare Snort non funziona. Ho commentato la regola e ho cancellato lo snort; funziona così so che è la regola. alert tcp any any -> any 5466 (msg:"FTP command execution"; flow:to_server,esta...
posta 18.02.2015 - 14:16