Tuning di snort 2.9.0.5 (rules)

Sicurezza, , , ,

In questo post ho spiegato come effettuare un tuning minimale dei preprocessori di cui si avvale snort 2.9.0.5. Ora, invece, vedremo come disabilitare tutte quelle regole che potrebbero generare dei falsi positivi.

snort

Per prima cosa posizioniamoci nella directory /etc/snort/rules:

nightfly@nightbox:~$ cd /etc/snort/rules

Lanciamo un ls per visualizzare il contenuto della dir:

nightfly@nightbox:/etc/snort/rules$ ls

il cui outuput sarà simile al seguente:

attack-responses.rules  misc.rules           snmp.rules
backdoor.rules          multimedia.rules     specific-threats.rules
bad-traffic.rules       mysql.rules          spyware-put.rules
blacklist.rules         netbios.rules        sql.rules

ecc.

Come è facile intuire, esiste un file *.rules per ogni possibile minaccia, dove ciascun file contiene tutta una serie di regole che identificano i tentativi di attacco. Ad esempio, analizzando il file attack-responses.rules, noteremo delle entry del tipo:

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"ATTACK-RESPONSES directory listing"; flow:established; content:"Volume Serial Number"; classtype:bad-unknown; sid:1292; rev:9;)

alert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ATTACK-RESPONSES command completed"; flow:established; content:"Command completed"; nocase; metadata:policy balanced-ips drop, policy security-ips drop, service http; reference:bugtraq,1806; classtype:bad-unknown; sid:494; rev:13;)

alert tcp $HTTP_SERVERS $HTTP_PORTS -> $EXTERNAL_NET any (msg:"ATTACK-RESPONSES command error"; flow:established; content:"Bad command or filename"; nocase; classtype:bad-unknown; sid:495; rev:10;)

E’ possibile disabilitare una qualunque entry semplicemente commentandola (ovvero inserendo un # ad inizio riga). Però, per evitare che tale entry ritorni attiva dopo l’aggiornamento delle regole mediante oinkmaster, dobbiamo operare direttamente sul file /etc/oinkmaster.conf:

nightfly@nightbox:/etc/snort/rules$ sudo nano /etc/oinkmaster.conf

aggiungendo la direttiva disablesid seguita dal sid dell’alert che ci interessa (ad esempio 1292 per ATTACK-RESPONSES directory listing):

disablesid 1292

Salviamo il file, riavviamo snort con un sudo service snort restart ed abbiamo finito.

A presto.

Tuning di snort 2.9.0.5 (rules)ultima modifica: 2011-08-11T11:55:00+02:00da nazarenolatella
Reposta per primo quest’articolo