[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Max Valdez wrote:
Hola Sandino, me imagino que no usas ningun programa p2p verdad ??
Si, y he tenido usuarios muy activos de Kazaa, MSN y Gnutella.
No son falsos positivos, son avisos y tu los interpretas como tal dependiendo del contexto. El Snort sólamente te reporta lo que ve. No es lo mismo enterarte de que 800 personas están aplicándole a tu Linux ataques para IIS/Win32 que enterarte de que tu servidor Linux está mandándole un ataque para IIS/Win32 a una máquina 'X'.Sobre todo con FTP, P2P y SSH, es muy comun activar falsos positivos de snort.
Claro que puedes adecuar tus alertas para que no los tengas, pero creo que es mejor tener falsos positivos, que tener falsos negativos,Debes entrenar a tu cerebro para ignorar avisos conocidos que no sean peligrosos sin que eso implique que les piuerdas atención a avisos desconocidos o a avisos peligrosos. Hay herramientas que te ayudan a filtrar avisos conocidos o a clasificar los avisos del Snort pero no existe esa cosa positiva o negativa como tal, sólamente existen buenos o malos patrones pero el Snort sólamente te avisa lo que ve para que tú mismo lo analices con tu propio cerebro.
siempre puedes checar a ojo las alertas, y ver los payloads para darte cuenta si alguien esta tratando de atacarte.Saludos Max
-- Sandino Araico Sánchez -- Melón se comió las plumas.... _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/