Re: [Ayuda] Configurando snort como un IPS ...

To: garaged <garaged en gmail com>, Linux Mexico <ayuda en linux org mx>
Subject: Re: [Ayuda] Configurando snort como un IPS ...
From: Mario Oyorzabal Salgado <tuxsoul en tuxsoul com>
Date: Sat May 6 15:54:02 2006
In-reply-to: <67b677ce0604301449w2dc5dc97j5bd93352659335d@mail.gmail.com>
List-archive: <https://mail.linux.org.mx/pipermail/ayuda/>
List-help: <mailto:ayuda-request@linux.org.mx?subject=help>
List-id: GNU/Linux help list <ayuda.linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-subscribe: <https://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=subscribe>
List-unsubscribe: <https://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=unsubscribe>
Organization: TuXsOuL
References: <4453E3DB.50008@tuxsoul.com> <67b677ce0604301449w2dc5dc97j5bd93352659335d@mail.gmail.com>
Reply-to: tuxsoul en tuxsoul com
Sender: ayuda-admin en linux org mx
User-agent: Debian Thunderbird 1.0.7 (X11/20051017)

garaged wrote:
> Lo de los falsos positivos es la realidad de cualquiera que usa ids, y
> como tip, no uses guardian porque tienes que usar snort con salida de
> texto, que no solo es mas lenta, sino mas vulnerable a ataques.
> 

eso he notado ahora que lo he estado probando, también he notado que por ejemplo
puede uno deshabilitar las reglas que te hacen falsos positivos, pero cuando
actualizo con el oinkmaster (creo que asi se llama), las reglas se vuelven a
desmarcar no se si sea una opción que me falte ahi configurar, de lo contrario
entre cada actualización tendría que remarcar las reglas con el (#) para que no
sean tomadas, y así no me cree falsos positivos.

En este dato no se por que el formato texto en claro sea más vulnerable a
ataques, de hecho creo que cualquiera d elos dos metodos los serían no ?, por
que también mysql puede ser suceptible también, o me equivoco ?.

> Es recomendable usar la salida unificada, o base de datos en
> produccion. Y el hacerlo IDP (lo cual esta de moda) no es tan buena
> idea como parece, no esta mal para la maquina de tu casa, pero en un
> servidor o red critica (cual no lo es ?) es muy probable que sufras
> consecuencias desagradables como el que un usuario X no puede accesar
> a el, o que tu server dejo de tener contacto con el mundo por un DoS.
> 

Si de hecho ahorita estoy haciendolo en una maquina casera, para probarlo, y si
creo que eso puede pasar, ya que viendo los log's lo mismo que proba los falsos
positivos podría hacer que los usuarios y ano se conecten a la computadora :-P.

Crei que snort podia evitar los DoS :-(.

> Ya entrandole a la implementacion, snort_inline es una opcion muy
> buena, y hay otro proyecto llamado hogwatch
> (http://hogwash.sourceforge.net/oldindex.html) que te gustaria
> visitar.
> 

Los checaré que de hecho estoy leyendo sobre ellos, al parecer son más directos
ya que no necesitan leer un log, si noque el mismo packquete que pase por ellos
lo bloquean antes de que llegue a la máquina, la cosa que he visto que no existe
paquete en debian para ellos, por lo cual los checaré desde los sources :-(.

saludos y gracias.

-- 
"hechando a perder se aprende"
http://mx.tuxsoul.com
http://mx.dolric.com
------------------BEGIN GEEK CODE BLOCK-----------------
Version: 3.12
GCS d? s: a? C+++ UL+++ P+ L++ E--- W++ N+ o K- w++
O-- M V- PS PE Y PGP++ t++ 5 X+++ R* tv++ b- DI+++ D----
G++ e- h++ !r !z
-------------------END GEEK CODE BLOCK------------------

Mensaje(s) a continuación:
- Re: [Ayuda] Configurando snort como un IPS ...
  - De: garaged

Previo por Fecha: [Ayuda] OFFTOPIC Un articulo de Denisse Dresser.
Siguiente por Fecha: Re: [Ayuda] Configurando snort como un IPS ...
Previo por Hilo: Re: [Ayuda] Configurando snort como un IPS ...
Siguiente por Hilo: Re: [Ayuda] Configurando snort como un IPS ...

[Hilos de Discusión] [Fecha] [Tema] [Autor]