[FUG-BR] Snort/OSSEC/IPFW e detecção de portscan
Welkson Renny de Medeiros
welkson em focusautomacao.com.br
Terça Novembro 28 19:12:13 BRST 2006
Pessoal,
Alguém poderia me dar uma dica de como desativar a checagem
de "portscan" do Snort? quase todos os dias meu Snort detecta
algum tipo de portscan de ips que acredito que não estejam
fazendo isso... outro dia foi o próprio dns primário da velox...
(a net parou geral, pra descobrir......), ontem foi o provedor
sip (voip)... hoje um dos clientes vpn...
Vejam alguns exemplos:
[**] [122:17:0] (portscan) UDP Portscan [**]
11/28-18:02:49.524224 64.80.70.13 -> 192.168.102.2
PROTO255 TTL:0 TOS:0x0 ID:13177 IpLen:20 DgmLen:165 DF
[**] [122:17:0] (portscan) UDP Portscan [**]
11/28-18:03:54.521450 64.80.70.13 -> 192.168.102.2
PROTO255 TTL:0 TOS:0x0 ID:14911 IpLen:20 DgmLen:166 DF
[**] [122:17:0] (portscan) UDP Portscan [**]
11/28-18:04:59.519218 64.80.70.13 -> 192.168.102.2
PROTO255 TTL:0 TOS:0x0 ID:15682 IpLen:20 DgmLen:168 DF
Não sei como o snort trabalha com detecção de portscan, pois
meu bsd não fica exposto para a internet, antes passa por um
roteador que só faz redirecionamento de algumas portas...
Resumindo... se alguém souber como desativo detecção de
portscan no snort.conf eu ficaria bastante agradecido.
Obrigado pela atenção.
--
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
Mais detalhes sobre a lista de discussão freebsd