Preguntas con etiqueta 'ids'

preguntas con etiqueta
1
respuesta

OSSEC - firewall-drop no funciona para la regla 5701

Estoy configurando una OSSEC en modo local (en CentOS 7) para que actúe como un IPS para un comportamiento específico. Estoy intentando usar firewall-drop pero no funciona (noté que la secuencia de comandos no puede ver srcip ). Déjame mostrart...
hecha 11.07.2017 - 16:23
0
respuestas

Snort rules uricontent

Estoy experimentando problemas con las reglas de verificación que verificarían el comportamiento HTTP del usuario (dirección de página, parámetros POST / GET ...). alert tcp any any -> any any (msg:"Alfa in uri"; flow:to_server,established;...
hecha 10.06.2017 - 19:30
0
respuestas

Snort funciona bien con las reglas de la comunidad. Después de importar el conjunto completo utilizando oinkmaster, no se generan alertas

Básicamente configuré mi Snort y funciona bien con las reglas de la comunidad. Las alertas llegan perfectamente cuando se realiza una exploración NMAP y otras pruebas. El problema es que después de instalar la versión registrada de las reglas...
hecha 29.08.2016 - 19:42
0
respuestas

Snort que coincide con paquetes individuales

Para una tarea específica, me gustaría hacer coincidir las reglas de snort con los primeros 1-2 paquetes de cada flujo en la red sin esperar a los otros paquetes de flujo posteriores. ¿Puedo hacer esto con snort? Si es así, ¿cómo?     
hecha 28.01.2016 - 00:45
1
respuesta

Snort: Arpspoof de eventos del preprocesador no aparecen en la IU BASE

He seguido esta guía para instalar Snort, utilizando Barnyard2, BASE, IIS y MySql. Mi Snort está arriba & En ejecución y se están registrando un montón de eventos. Después de eliminar algunos falsos positivos, quería probar el arpspoof...
hecha 21.04.2015 - 04:43
2
respuestas

Dispositivos de seguridad que no sean firewall e IDS [cerrado]

Estaba estudiando firewalls e IDS / IPS y tenía una duda. ¿Son estos los únicos dos dispositivos de seguridad principales en los que una empresa invierte? ¿O hay otros equipos y controles de seguridad?     
hecha 08.05.2015 - 00:47
0
respuestas

¿Es posible ejecutar snort sin modificadores?

¿Hay alguna forma (por ejemplo, algún argumento de línea de comando) con la que podamos decirle a snort que ejecute y realice la detección pero sin cuidar los modificadores de la regla si hay alguno? por ejemplo alert tcp any any -> any...
hecha 11.12.2014 - 15:53
1
respuesta

Personalice un sistema de detección de intrusiones para la comunicación en serie

La mayoría de los sistemas de detección de intrusos que conozco son para comunicación IP. Pero supongamos que tengo comunicación en serie, es decir, CAN o RS485. En esta comunicación en serie hay protocolos personalizados que se comunican, de mo...
hecha 11.02.2015 - 08:56
0
respuestas

problema con mi regla de snort

He escrito esta regla, pero cuando intento recargar Snort está fallando. He comentado la regla y recargado el snort; está funcionando, así que sé que es la regla. alert tcp any any -> any 5466 (msg:"FTP command execution"; flow:to_serve...
hecha 18.02.2015 - 13:16
8
respuestas

¿Puedo detectar ataques de aplicaciones web al ver mi archivo de registro de Apache? [cerrado]

Ocasionalmente, obtengo clientes que solicitan que miren su archivo access_log para determinar si algún ataque web tuvo éxito. ¿Qué herramientas son útiles para discernir ataques?     
hecha 12.11.2010 - 00:36