Serviço IDS

Home Comunidade Brasileira Endian Firewall Endian Firewall Endian Firewall – Suporte Serviço IDS

Marcado: , ,

Visualizando 5 respostas da discussão
  • Autor
    Posts
    • maio 18, 2010 às 11:29 am #278
      diegoblos
      Participante

      Ola

      Analisando os logs do IDS, estou recebendo diversos tipos de conexões, como por exemplo:

      snort[11386]: [1:2001329:8] ET POLICY RDP connection request [Classification: Misc activity] [Priority: 3]: {TCP} 24.131.XXX.XX:4722 -> IP_INERTNO:3389

      snort[11386]: [1:2001331:8] ET POLICY RDP disconnect request [Classification: Misc activity] [Priority: 3]: {TCP} 24.131.XXX.XX:3576 -> IP_INERTNO:3389

      Gostaria de saber se o serviço faz o bloqueio desta tentativa de invasão, ou preciso tomar alguma ação referente as ocorrências que encontro nos logs do IDS?

      Valeu

      🚀 Apresentando o Hotspot Beacon! 🚀

      Desbloqueie o potencial do seu Wi-Fi com o Hotspot Beacon. Personalize sua página de acesso para mostrar anúncios, promoções ou informações e engajar seus clientes, impulsionando o seu negócio.

      💡 Principais Funcionalidades:

      - Interface amigável e intuitiva
      - Opções de personalização completas para sua marca
      - Gerenciamento de propagandas e promoções
      - Integração fácil com sistemas existentes via API
      - Limitação de velocidade ou largura de banda por usuário
      - Controle de acesso por horário

      🔗 Confira o site para saber mais: https://hotspotbeacon.com

    • maio 18, 2010 às 3:06 pm #4567
      Albaney Baylão
      Participante

      Camarada, se você não sabe interpretar MUITO BEM o snort o melhor é deixar ele apenas informando, se não o resultado é que você vai acabar bloqueando o que não deve ser bloqueado, já que muitas das coisas que ele informa não são necessariamente invasões e ele dá muitas, mas muitas mesmo, mensagens sobre atividades que não são necessariamente invasões da sua rede.

      Isso não é um problema do snort, mas um problema de você tentar automatizar a detecção de invasão, pois o tráfego de invasão é afinal de contas muito parecido com tráfego válido.

      Agora com relação a sua pergunta, o IDS faz o bloqueio sim, basta você escolher as detecções que devem ser bloqueadas e clicar nelas para que o símbolo mude para um escudo vermelho.

    • maio 18, 2010 às 4:40 pm #4568
      diegoblos
      Participante

      Caro Albaney

      Por exemplo, a informação do log que citei anteriormente, gostaria de bloquear. Então eu tenho que entrar na regra do Snort e bloquear ela, isso? Deixando o escudo vermelho que vc comentou?

    • maio 18, 2010 às 5:45 pm #4569
      diegoblos
      Participante

      Outra coisa Albaney

      Configurando dessa maneira, os alertas continuam aparecendo?

    • maio 18, 2010 às 6:19 pm #4570
      Albaney Baylão
      Participante

      Sim. Continuam.

    • maio 19, 2010 às 6:04 pm #4571
      Eduardo Silva
      Participante

      diegoblos,

      Por uma questão de privacidade, editei o seu post original para mascarar o IP informado nos logs.

      A propósito, o logo que você está vendo é uma tentativa de conexão ao Terminal Service (remote desktop) com destino a uma máquina interna.

      []’s

  • Autor
    Posts
Visualizando 5 respostas da discussão
  • O tópico ‘Serviço IDS’ está fechado para novas respostas.