Rapport Snort... fausses alertes???

par **valdil** » 10 Avr 2009 16:13

Bonjour, j'ai mis en place snort sur mon réseau, il m'a remonté pas mal d'alertes mais rien de bien méchant pour le moment. Par contre j'arrive pas à comprendre si c'est une vraie alerte pour certaine.

Code: Tout sélectionner: **] [1:100000122:1] COMMUNITY WEB-MISC mod_jrun overflow attempt [**] [Classification: Web Application Attack] [Priority: 1] 04/09-15:49:45.939787 192.168.0.236:54588 -> 213.199.164.110:80 TCP TTL:64 TOS:0x0 ID:16230 IpLen:20 DgmLen:1380 DF ***A**** Seq: 0xCF83E103 Ack: 0xD391B2EF Win: 0x16D0 TcpLen: 20 [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0646][Xref => http://www.securityfocus.com/bid/11245]

J'ai plusieurs alertes de ce type et à chaque fois l'adresse cible sont des serveurs Microsoft, Orange, FT.
Précision: 192.168.0.236 est mon serveur proxy.

Et sinon j'ai une seconde alerte que je n'arrive pas à comprendre:

Code: Tout sélectionner: [**] [1:3197:2] NETBIOS DCERPC ISystemActivator path overflow attempt little endian [**] [Classification: Attempted Administrator Privilege Gain] [Priority: 1] 04/10-09:35:37.086844 192.168.21.1:2345 -> 192.168.0.244:135 TCP TTL:128 TOS:0x0 ID:21361 IpLen:20 DgmLen:936 DF ***AP*** Seq: 0xC1E25945 Ack: 0x8940F1D7 Win: 0x4318 TcpLen: 20 [Xref => http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx][Xref => http://cgi.nessus.org/plugins/dump.php3?id=11808][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0352][Xref => http://www.securityfocus.com/bid/8205]

Quelqu'un pourrait il eclairer ma lanterne?
Merci d'avance :wink:

par **ccnet** » 10 Avr 2009 16:59

j'ai mis en place snort sur mon réseau

Comment l'avez vous mis en place ? Pour comprendre en premier lieu il faudrait connaitre la topologie de votre réseau, les emplacements où vous avez placé les sondes, les services présents sur votre réseau, ceux qui sont potentiellement accessibles depuis internet, ceux qui le sont depuis le réseau interne, avec les os et les logiciels utilisés.
Cela juste pour déterminer si ces alertes vous concernent ou non. Avez vous sur Snort paramétré les jeux de règles adaptés à votre environnement ?

A propos de la seconde alerte :

192.168.21.1:2345 -> 192.168.0.244:135

L'ip 192.168.21.1 appartient elle à votre réseau local ?

Quelqu'un susceptible de jouer avec Nessus sur votre réseau local ?

par **valdil** » 14 Avr 2009 09:38

Bonjour ccnet et merci de prendre un peu de temps pour m'aider. Alors niveau réseau c'est une topologie en étoile. Il y a plusieurs salles réseau qui sont reliées via une fibre à un local principal. Parmit les salles réseau il y en a une qui est notre salle serveur et c'est sur le switch qui relie cette salle au local principal que j'ai installé snort à l'aide d'un mirroring de port. Presque tout le trafic passe par cette salle serveur. (AD: win2003&2000, DNS, Samba, Squid, TSE, Postfix Oracle et une 12ene de logiciels pro (milieu médical)). Les stations sont sous XP et 2000. Un site distant accède au réseau local via un VPN afin d'accèder à certaines appli. Une DMZ est en place mais son traffic n'apparait pas sous snort (normal). Au niveau des jeux de règles ba je paramètre au fur à mesure selon les attaques qu'il detecte, je désactive ce qui est "normal".

pour ma seconde alerte l'ip 192.168.21.1 fait en effet partie de mon réseau local, c'est une station cliente (win 2000). L'ip 192.168.0.244 est un serveur hébergeant une base de données et un serveur IIS.
Pour Nessus, personne ne l'utilise.
Voila merci d'avance

par **ccnet** » 14 Avr 2009 19:44

La première alerte ne vous concerne pas puisque la cible est un serveur http externe. C'est très probablement un faux positif lié au placement de votre sonde et son paramétrage.

Pour la seconde alerte, il semble clair qu'un scanner de vulnérabilité vérifie si votre serveur est patché contre le problème référencé ici : http://www.microsoft.com/technet/securi ... 3-026.mspx
J'aurai tendance à vous conseiller de prendre cette alerte au sérieux et à placer la machine Windows sous surveillance.

Il n'est pas exclu que vous ayez une machine compromise qui pourrait être utilisé depuis l'extérieur. Avez vous un contrôle strict des flux sortant ? Dans ce cas vous voyez une tentative d'élévation de privilège venant d'une machine du réseau alors qu'elle est réalisé par un "élément extérieur".

L'existence d'un canal caché exploité n'est pas à exclure.

Au niveau des jeux de règles ba je paramètre au fur à mesure selon les attaques qu'il détecte, je désactive ce qui est "normal".

Un outils qui peut vous aider dans la gestion des jeux de règles et les mises à jour : IDS Policy Manager
http://www.activeworx.org/

par **valdil** » 22 Avr 2009 12:13

Bonjour ccnet et merci pour l'analyse, je vais me pencher dessus. Pour IDS Policy, c'est interessant, le seul probleme c'est qu'il est disponible que sous environnement Windows alors que ma sonde est sur une distrib linux... Sinon pour les alertes SNORT j'ai du mal à toutes les comprendres, certaines ne sont pas tres explicites et quasiment sans ressources (sur le net)... un conseil pour pouvoir les analyser?
Merci

par **ccnet** » 22 Avr 2009 12:44

Pour IDS Policy, c'est interessant, le seul probleme c'est qu'il est disponible que sous environnement Windows alors que ma sonde est sur une distrib linux..

.
IDSPM s'installe sur un client distant, pas sur la sonde elle même. On upload ensuite les règles vers la ou les sondes.

par **valdil** » 22 Avr 2009 14:34

ahhh ok, ba j'ai du mal lire la description du produit. Je vais regarder ca.
Merci

Rapport Snort... fausses alertes???

Rapport Snort... fausses alertes???

Qui est en ligne ?