The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"snort и smtp-сервер"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Firewall и пакетные фильтры / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"snort и smtp-сервер"  +/
Сообщение от Gaidamak (ok) on 09-Фев-09, 10:56 
Поднял snort с дефолтными рулесами, скачанными через oinkmaster. Параноидален до невозможности. Самым страшным злом считает base64 и почти в каждом входящем письме видит исполняемый код типа такого:

SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90

Нет ли на просторах интернета вменяемого набора правил для защиты почтового релея не от мнимых, а от более-менее подлинных угроз?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "snort и smtp-сервер"  +/
Сообщение от Scarab (??) on 09-Фев-09, 11:04 
>страшным злом считает base64 и почти в каждом входящем письме видит
>исполняемый код типа такого:
>
>SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90
>90 90 90 90 90
>
> Нет ли на просторах интернета вменяемого набора правил для защиты почтового
>релея не от мнимых, а от более-менее подлинных угроз?

"Подлинность" угрозы - понятие более чем относительное. Систем, которые бы гарантированно отличали атаки от легального траффика, равно как и систем, которые бы отлавливали 100% спама, не существует. Весь вопрос в параноидальности конкретного админа в конкретной ситуации, а здесь каких-то "стандартных" правил быть не может.

Рекомендация в данном случае крайне простая - отключайте по одному правила, которые Вы считаете излишне жёсткими. Несколько дней он Вам мозг потрахает, без этого никуда - потом всё войдёт в нормальную колею. Собственно, задача snort в том и состоит, чтобы трахать мозг админу :)


b.r.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "snort и smtp-сервер"  +/
Сообщение от Gaidamak (ok) on 09-Фев-09, 11:38 
>Рекомендация в данном случае крайне простая - отключайте по одному правила, которые
>Вы считаете излишне жёсткими. Несколько дней он Вам мозг потрахает, без
>этого никуда - потом всё войдёт в нормальную колею. Собственно, задача
>snort в том и состоит, чтобы трахать мозг админу :)

Оно как бы и понятно, но есть ощущение, что этот велосипед давно уже изобрели, и есть где-то устоявшаяся за годы практика скрещивания snort'а c smtp-сервером.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "snort и smtp-сервер"  +/
Сообщение от Gaidamak email(??) on 09-Фев-09, 21:33 
Ковыряю snort дальше. Задача - отучить это чудо генерить алерты SHELLCODE на 25 порту.

В дефолтном snort.conf есть параметр.

portvar portvar SHELLCODE_PORTS !80

Меняю на [0:24,26:79,81:65535].

Перезапускаю. В логах вижу, что переменная SHELLCODE_PORTS изменилась как надо.
Однако алерты не прекращаются:


[**] [1:1394:9] SHELLCODE x86 NOOP [**]
[Classification: Executable code was detected] [Priority: 1]
02/09-20:56:53.928938 209.xxx.xxx.xxx:36160 -> 81.xxx.xxx.xxx:25
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:2862
***AP*** Seq: 0xA9B4FDC5  Ack: 0x3F5F59F3  Win: 0x456  TcpLen: 20


Лезу в shellcode.rules. Там нет и намека на SHELLCODE_PORTS

alert ip $EXTERNAL_NET any -> $HOME_NET all (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)

Руками вбиваю эту переменную во все правила:

alert ip $EXTERNAL_NET any -> $HOME_NET $SHELLCODE_PORTS (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)

Перезапускаю. Алерты все равно прут. Где и что я делаю не так?


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "snort и smtp-сервер"  +/
Сообщение от Anton Shetvsov on 14-Окт-09, 08:51 
Аналогично! парюсь уже несколько дней..

делал
portvar SHELLCODE_PORTS !80 !25
и
portvar SHELLCODE_PORTS [!80,!25]

и в правилах ставил исключение

alert ip $EXTERNAL_NET any -> $HOME_NET !25 (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)

и всяко иначе.. один фиг не помогает

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "snort и smtp-сервер"  +/
Сообщение от valirus on 29-Окт-12, 12:39 
>[оверквотинг удален]
> В дефолтном snort.conf есть параметр.
> portvar portvar SHELLCODE_PORTS !80
> Меняю на [0:24,26:79,81:65535].
> Перезапускаю. В логах вижу, что переменная SHELLCODE_PORTS изменилась как надо.
> Однако алерты не прекращаются:
> [**] [1:1394:9] SHELLCODE x86 NOOP [**]
> [Classification: Executable code was detected] [Priority: 1]
> 02/09-20:56:53.928938 209.xxx.xxx.xxx:36160 -> 81.xxx.xxx.xxx:25
> TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:2862
> ***AP*** Seq: 0xA9B4FDC5  Ack: 0x3F5F59F3  Win: 0x456  TcpLen: 20

  только что закончил с проблемой , редактирую файл в сторонней папке, потом копирую в системную, изменения работают, uac мозги е....


> Лезу в shellcode.rules. Там нет и намека на SHELLCODE_PORTS
> alert ip $EXTERNAL_NET any -> $HOME_NET all (msg:"SHELLCODE x86 NOOP"; content:"|90
> 90 90 90 90 90 90 90 90 90 90 90
> 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)
> Руками вбиваю эту переменную во все правила:
> alert ip $EXTERNAL_NET any -> $HOME_NET $SHELLCODE_PORTS (msg:"SHELLCODE x86 NOOP"; content:"|90
> 90 90 90 90 90 90 90 90 90 90 90
> 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)
> Перезапускаю. Алерты все равно прут. Где и что я делаю не так?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру