Ik heb hier een snort machine geinstalleerd, icm ACID reporting en SnortCenter web based management. Detectie werkt perfect, ik detecteer alles wat ik wil...
Nu wil ik Snort "tandjes" geven en voor ik de machine in productie neem met Snort-inline wil ik eerst een tijdje draaien met FlexResp2. (Reden: inline vastlopen is internet storing, flexresp vastlopen is alleen effe geen bescherming)
Ik heb getracht de zelf gecompilede versie te draaien maar die accepteerd de flexresp keywords niet. Nu heb ik de prebuild versie geinstalleerd die de flexresp keywords wel accepteert maar het lijkt niet te werken.
-De Snort machine zou een tcp reset moeten versturen om het pakket te blokken, ik weet niet of dit gebeurt. (Ga ik zo nog effe sniffen)
-Als ik resp:reset opneem komt het event niet meer in de Acid log te staan.
-Ik test met de virus regel .pif outbound, welke voorheen perfect detecteerde, maar zoals gezegd geen events meer in Acid als ik de resp:reset regel opneem.
De machine draait momenteel een volledige gepatchede RH7.3, eth0 is lokaal eth1 is sniff interface. Eth1 is aangesloten op hub tussen firewall en router.
Bron FlexResp2:
http://cerberus.sourcefir...chives/snort/sp_respond2/
Nu wil ik Snort "tandjes" geven en voor ik de machine in productie neem met Snort-inline wil ik eerst een tijdje draaien met FlexResp2. (Reden: inline vastlopen is internet storing, flexresp vastlopen is alleen effe geen bescherming)
Ik heb getracht de zelf gecompilede versie te draaien maar die accepteerd de flexresp keywords niet. Nu heb ik de prebuild versie geinstalleerd die de flexresp keywords wel accepteert maar het lijkt niet te werken.
-De Snort machine zou een tcp reset moeten versturen om het pakket te blokken, ik weet niet of dit gebeurt. (Ga ik zo nog effe sniffen)
-Als ik resp:reset opneem komt het event niet meer in de Acid log te staan.
-Ik test met de virus regel .pif outbound, welke voorheen perfect detecteerde, maar zoals gezegd geen events meer in Acid als ik de resp:reset regel opneem.
De machine draait momenteel een volledige gepatchede RH7.3, eth0 is lokaal eth1 is sniff interface. Eth1 is aangesloten op hub tussen firewall en router.
Bron FlexResp2:
http://cerberus.sourcefir...chives/snort/sp_respond2/
). Op het moment dat je een extern script aanroept, is het vrij triviaal om een scriptje rond tcpreset (zat in de dsniff toolkit als ik me niet vergis) te bouwen, danwel zelf een kleine {C|C++|perl|python} app te bouwen die dat voor je doet.