- Este tópico contém 5 respostas, 3 vozes e foi atualizado pela última vez 13 anos, 11 meses atrás por
.
-
Posts
-
-
Ola
Analisando os logs do IDS, estou recebendo diversos tipos de conexões, como por exemplo:
snort[11386]: [1:2001329:8] ET POLICY RDP connection request [Classification: Misc activity] [Priority: 3]: {TCP} 24.131.XXX.XX:4722 -> IP_INERTNO:3389
snort[11386]: [1:2001331:8] ET POLICY RDP disconnect request [Classification: Misc activity] [Priority: 3]: {TCP} 24.131.XXX.XX:3576 -> IP_INERTNO:3389
Gostaria de saber se o serviço faz o bloqueio desta tentativa de invasão, ou preciso tomar alguma ação referente as ocorrências que encontro nos logs do IDS?
Valeu
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
Camarada, se você não sabe interpretar MUITO BEM o snort o melhor é deixar ele apenas informando, se não o resultado é que você vai acabar bloqueando o que não deve ser bloqueado, já que muitas das coisas que ele informa não são necessariamente invasões e ele dá muitas, mas muitas mesmo, mensagens sobre atividades que não são necessariamente invasões da sua rede.
Isso não é um problema do snort, mas um problema de você tentar automatizar a detecção de invasão, pois o tráfego de invasão é afinal de contas muito parecido com tráfego válido.
Agora com relação a sua pergunta, o IDS faz o bloqueio sim, basta você escolher as detecções que devem ser bloqueadas e clicar nelas para que o símbolo mude para um escudo vermelho.
-
-
-
-
-
- O tópico ‘Serviço IDS’ está fechado para novas respostas.