Comment ce servir des alertes Snort?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

Comment ce servir des alertes Snort?

Messagepar antago » 25 Avr 2004 18:05

Salut
Comme beaucoup de debutants d'IPCop j'ai suivi les conseils du forum pour la configuration de mon IPCop.
Au final j'ai, a partir de l'install par defaut:
*Suivit les regles d'antolien pour tout bloquer et ouvrir apres + blocage ping
*Ajouté guardian
*Ajouté snort-rules-update.
*desactivé les alertes Snort qui me semblaient inutiles: MS-SQL Worm, CyberKit...

Mon problème, est que meme avec ca j'ai encore presque une 100aine d'alertes par jour. Bon ca me montre qu'il y a de l'activité...mais apres je ne sais pas trop quoi en faire de ces alertes! Je ne sais pas quelles decisions le firewall a pris concernant les alertes...il drop? il laisse passé?

Pour résumer : c'est bien joli les alertes snort mais on en fait quoi apres? comment les trier, les analyser , les classifier et prendre les mesures préventives?

Merci.
Avatar de l’utilisateur
antago
Aspirant
Aspirant
 
Messages: 133
Inscrit le: 29 Sep 2003 00:00
Localisation: 51
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron