Snort – portscan

Home Comunidade Brasileira Endian Firewall Endian Firewall Endian Firewall – Suporte Snort – portscan

Marcado: 

Visualizando 8 respostas da discussão
  • Autor
    Posts
    • novembro 18, 2011 às 1:43 am #1455
      thiagomespb
      Participante

      Alguem pode explicar o que é isso que o snort informa

      snort[7661]: [122:3:0] (portscan) TCP Portsweep [Priority: 3] {PROTO:255} 192.168.1.6 -> 79.141.216.19

      Será que é melhor bloquear..


      Wireguard_webadmin

      Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.

      Principais funcionalidades:

      - Sistema de Firewall completo e flexível.
      - Encaminhamento de portas
      - Suporte a multi usuário com níveis diferentes de acesso
      - Múltiplas instâncias do Wireguard
      - Crypto key routing para configuração de VPN site-to-site

      O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin

    • novembro 18, 2011 às 11:36 am #9540
      Jr. Menezes
      Participante

      Thiago,

      Parece ser um “Cavalo de Tróia” agindo na máquina com IP 192.168.1.6 de sua rede interna, pelo que informa o site Snort.org. Segue link com mais detalhes:

      http://www.snort.org/search/sid/7661

      Espero ter ajudado!

      Jr. Menezes

      Redes e Segurança de Sistemas

    • novembro 18, 2011 às 1:03 pm #9541
      Eduardo Jonck
      Participante

      Jr. Menezes,

      Como saber se o SNORT esta funcionado? Ele fica com a figura de um escudo ou um triangulo amarelo? Se eu ativar todos, pode dar algum problema? Para que serve especificamente o SNORT? Se souber poste ai, só para esclarecer melhor essa ferramenta.

    • novembro 18, 2011 às 1:26 pm #9542
      Jr. Menezes
      Participante

      Eduardo,

      Para que o SNORT funcione é necessário que o serviço IDS esteja ativo. Para ativar, basta ir no menu “Services”, opção “Intrusion Prevention”.

      O ícone de um escudo, dropa os possíveis ataques, o ícone de alerta (triângulo amarelo) apenas alerta!

      Eu particularmente, prefiro apenas ser alertado, utilizar a política de bloqueio só para alguns serviços específicos ou se descobrir algum ataque.

      Para que serve o SNORT?

      É um software (livre) de deteccão de intrusão. Ele analisa o tráfego da rede em tempo real. Pode ser usado para detectar vários tipos de ataque como: buffer oveflows, port scans, trojans e de certa forma pode até ajudar na política de acesso nas empresas.

      PS.: Recomendo ativar!

      []s

      Jr. Menezes

      Redes e Segurança de Sistemas

    • maio 10, 2013 às 1:24 am #9544
      jcs
      Participante

      o ideal é ter um servidor para ids funciona melhor o seu comportamento

    • maio 13, 2013 às 1:15 am #9545
      darksom
      Participante

      O que vocês indicam para bloquear lá no IPS?

      Que tipo de serviço você bloqueia Jr. Menezes?

    • junho 19, 2013 às 11:32 am #9546
      darksom
      Participante

      alguém ajuda?

    • junho 26, 2013 às 12:48 pm #9547
      aroldobossoni
      Participante

      Já tentei chegar a um consenso prudente de quais regra ativar o bloqueio. Mais por falta de tempo e também pro que acho que ninguém aqui no fórum se atreve a bloquear nada por ISP, não deu certo a minha tentativa.

    • julho 3, 2013 às 2:57 pm #9548
      aroldobossoni
      Participante

      darksom olhe esse meu post http://endian.eth0.com.br/topic/regras-prevencao-a-intrusao-bloqueadas

  • Autor
    Posts
Visualizando 8 respostas da discussão
  • O tópico ‘Snort – portscan’ está fechado para novas respostas.