SNORT [RESOLVIDO]

1. SNORT [RESOLVIDO]

rednav
(usa CentOS)

Enviado em 20/04/2016 - 11:00h

DÆ galerinha blz... seguinte to precisando de uma luz no SNORT,

Instalo ele blz tudo certo

Porem ele bloqueia até paginas como hotmail e representantes que acessam nosso sistema ele bloqueia o ip mesmo o kra entrando uma unica vez com a senha correta, alguma luz, nos logs da muita msg de http_inspect e http_header o sistema é via web na porta 81 e 82 na vdd acho que tenho que desabilitar essas checagens http_* sera q pode trazer algum problema para ferramenta?

0 0

Quote

2. Re: SNORT [RESOLVIDO]

rednav
(usa CentOS)

Enviado em 20/04/2016 - 11:30h

Dei uma pesquisada melhor e encontrei a solução. o bloqueio se da devido a sites mal desenvolvidos, ativei a lista de supressão conforme abaixo pesquisada e deu certo parou os alertas

Here are the suppressions that I am using:

#(http_inspect) SIMPLE REQUEST
suppress gen_id 119, sig_id 32
#(http_inspect) UNKNOWN METHOD
suppress gen_id 119, sig_id 31
#(http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE
suppress gen_id 120, sig_id 8
#(http_inspect) NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE
suppress gen_id 120, sig_id 3
#(http_inspect) DOUBLE DECODING ATTACK
suppress gen_id 119, sig_id 2
#(http_inspect) HTTP RESPONSE GZIP DECOMPRESSION FAILED
suppress gen_id 120, sig_id 6
#(http_inspect) IIS UNICODE CODEPOINT ENCODING
suppress gen_id 119, sig_id 7
#(http_inspect) BARE BYTE UNICODE ENCODING
suppress gen_id 119, sig_id 4
#(http_inspect) JAVASCRIPT OBFUSCATION LEVELS EXCEEDS 1
suppress gen_id 120, sig_id 9
#(http_inspect) JAVASCRIPT WHITESPACES EXCEEDS MAX ALLOWED
suppress gen_id 120, sig_id 10
#(http_inspect) UNESCAPED SPACE IN HTTP URI
suppress gen_id 119, sig_id 33
#(http_inspect) U ENCODING
suppress gen_id 119, sig_id 3

1 0

Quote