форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Firewall и пакетные фильтры / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"snort и smtp-сервер"	+/–
Сообщение от Gaidamak (ok) on 09-Фев-09, 10:56
Поднял snort с дефолтными рулесами, скачанными через oinkmaster. Параноидален до невозможности. Самым страшным злом считает base64 и почти в каждом входящем письме видит исполняемый код типа такого: SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90 Нет ли на просторах интернета вменяемого набора правил для защиты почтового релея не от мнимых, а от более-менее подлинных угроз?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "snort и smtp-сервер"	+/–
Сообщение от Scarab (??) on 09-Фев-09, 11:04
>страшным злом считает base64 и почти в каждом входящем письме видит >исполняемый код типа такого: > >SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 >90 90 90 90 90 > > Нет ли на просторах интернета вменяемого набора правил для защиты почтового >релея не от мнимых, а от более-менее подлинных угроз? "Подлинность" угрозы - понятие более чем относительное. Систем, которые бы гарантированно отличали атаки от легального траффика, равно как и систем, которые бы отлавливали 100% спама, не существует. Весь вопрос в параноидальности конкретного админа в конкретной ситуации, а здесь каких-то "стандартных" правил быть не может. Рекомендация в данном случае крайне простая - отключайте по одному правила, которые Вы считаете излишне жёсткими. Несколько дней он Вам мозг потрахает, без этого никуда - потом всё войдёт в нормальную колею. Собственно, задача snort в том и состоит, чтобы трахать мозг админу :) b.r.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "snort и smtp-сервер"	+/–
	Сообщение от Gaidamak (ok) on 09-Фев-09, 11:38
	>Рекомендация в данном случае крайне простая - отключайте по одному правила, которые >Вы считаете излишне жёсткими. Несколько дней он Вам мозг потрахает, без >этого никуда - потом всё войдёт в нормальную колею. Собственно, задача >snort в том и состоит, чтобы трахать мозг админу :) Оно как бы и понятно, но есть ощущение, что этот велосипед давно уже изобрели, и есть где-то устоявшаяся за годы практика скрещивания snort'а c smtp-сервером.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "snort и smtp-сервер"	+/–
	Сообщение от Gaidamak (??) on 09-Фев-09, 21:33
	Ковыряю snort дальше. Задача - отучить это чудо генерить алерты SHELLCODE на 25 порту. В дефолтном snort.conf есть параметр. portvar portvar SHELLCODE_PORTS !80 Меняю на [0:24,26:79,81:65535]. Перезапускаю. В логах вижу, что переменная SHELLCODE_PORTS изменилась как надо. Однако алерты не прекращаются: [**] [1:1394:9] SHELLCODE x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] 02/09-20:56:53.928938 209.xxx.xxx.xxx:36160 -> 81.xxx.xxx.xxx:25 TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:2862 ***AP*** Seq: 0xA9B4FDC5  Ack: 0x3F5F59F3  Win: 0x456  TcpLen: 20 Лезу в shellcode.rules. Там нет и намека на SHELLCODE_PORTS alert ip $EXTERNAL_NET any -> $HOME_NET all (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;) Руками вбиваю эту переменную во все правила: alert ip $EXTERNAL_NET any -> $HOME_NET $SHELLCODE_PORTS (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;) Перезапускаю. Алерты все равно прут. Где и что я делаю не так?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "snort и smtp-сервер"	+/–
	Сообщение от Anton Shetvsov on 14-Окт-09, 08:51
	Аналогично! парюсь уже несколько дней.. делал portvar SHELLCODE_PORTS !80 !25 и portvar SHELLCODE_PORTS [!80,!25] и в правилах ставил исключение alert ip $EXTERNAL_NET any -> $HOME_NET !25 (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;) и всяко иначе.. один фиг не помогает
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "snort и smtp-сервер"	+/–
	Сообщение от valirus on 29-Окт-12, 12:39
	>[оверквотинг удален] > В дефолтном snort.conf есть параметр. > portvar portvar SHELLCODE_PORTS !80 > Меняю на [0:24,26:79,81:65535]. > Перезапускаю. В логах вижу, что переменная SHELLCODE_PORTS изменилась как надо. > Однако алерты не прекращаются: > [**] [1:1394:9] SHELLCODE x86 NOOP [**] > [Classification: Executable code was detected] [Priority: 1] > 02/09-20:56:53.928938 209.xxx.xxx.xxx:36160 -> 81.xxx.xxx.xxx:25 > TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:2862 > ***AP*** Seq: 0xA9B4FDC5  Ack: 0x3F5F59F3  Win: 0x456  TcpLen: 20   только что закончил с проблемой , редактирую файл в сторонней папке, потом копирую в системную, изменения работают, uac мозги е.... > Лезу в shellcode.rules. Там нет и намека на SHELLCODE_PORTS > alert ip $EXTERNAL_NET any -> $HOME_NET all (msg:"SHELLCODE x86 NOOP"; content:"|90 > 90 90 90 90 90 90 90 90 90 90 90 > 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;) > Руками вбиваю эту переменную во все правила: > alert ip $EXTERNAL_NET any -> $HOME_NET $SHELLCODE_PORTS (msg:"SHELLCODE x86 NOOP"; content:"|90 > 90 90 90 90 90 90 90 90 90 90 90 > 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;) > Перезапускаю. Алерты все равно прут. Где и что я делаю не так?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема