Bonjour à tous.
Voilà ma question est dans l'objet du message.
Je suis pas un pro d'IPCOP mais comme j'ai beaucoup d'entrèes dans mon journal de détection des intrusions, je voudrais savoir si à partir du moment ou j'ai une entrée dans ce journal, je peux considérer que la tentative est un echec.
En ce moment j'ai bcq de ICMP PING NMAP en provenance d'un peu partout
SID 469
J'ai aussi quelques MS-SQL Worm propagation en provenance des USA.
SID 2003
et des SCAN SOCKS Proxy en provenance de chine
SID 615
Qu'est ce qu'il y a à faire contre çà ?
Sinon j'ai modiifé mon snmp.rules car mon fournisseur me balance des trames snmp non intrusive (c'est pour la QoS) J'ai mis les 3 règles ci dessous en commentaire. C'est grave docteur ? Est ce que je peux aussi mettre la règles suivante en commentaire.
Merci d'avance
alert udp $EXTERNAL_NET any -> $HOME_NET 161 (msg:"SNMP missing community string attempt"; content:"|04 00|"; offset:5; depth:15; reference:cve,CAN-1999-0517; classtype:misc-attack; sid:1893; rev:1;)
*** les 3 règles ***
#alert udp $EXTERNAL_NET any -> $HOME_NET 161 (msg:"SNMP public access udp"; content:"public"; reference:cve,CAN-1999-0517; reference:cve,CAN-2002-0012; reference:cve,CAN-2002-0013; sid:1411; rev:3; classtype:attempted-recon;)
#alert tcp $EXTERNAL_NET any -> $HOME_NET 161 (msg:"SNMP public access tcp"; flow:to_server,established; content:"public"; reference:cve,CAN-1999-0517; reference:cve,CAN-2002-0012; reference:cve,CAN-2002-0013; sid:1412; classtype:attempted-recon; rev:5;)
#alert udp $EXTERNAL_NET any -> $HOME_NET 161 (msg:"SNMP request udp"; reference:cve,CAN-2002-0012; reference:cve,CAN-2002-0013; sid:1417; rev:2; classtype:attempted-recon;)
