Snort sous MNF : 8058 alerts en 4 jours ?

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar lembal » 04 Mars 2003 16:15

Voila, tout est dit ! J'ai 8058 alertes trouvées par Snort en 4 jours et rien pour Prelude ?! Alors un bug qui m'a échappé ?! C'est dans les Errata de MDK ça ?!
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar jpcheney » 04 Mars 2003 17:30

quelle type d'alerte ?
JeeP
Avatar de l’utilisateur
jpcheney
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 157
Inscrit le: 14 Août 2002 00:00

Messagepar eol » 05 Mars 2003 01:28

arff, as tu un soft de P2P qui tourne ? <IMG SRC="images/smiles/icon_rolleyes.gif">
Le paresseux demande un oiseau, le courageux ne demande qu'un arc et des fleches (proverbe indien), auquel j'ajoute : le présomptueux ne demande qu'un arc et une fleche
Avatar de l’utilisateur
eol
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 218
Inscrit le: 11 Sep 2002 00:00
Localisation: Lyon

Messagepar lembal » 05 Mars 2003 10:33

Bah je crois pas que ce soit ça ! Dès la config de MNF terminée il me mettait plein d'erreurs (plusieurs centaines !)... Alors je me disais que (étant un habitué de la SNF) ça allait disparaître d'ici quelques jours : bah non ! Comment je peux vous transmettre un screen shot ?! <BR> <BR>Je viens de rentrer dans les détails et 7979 alertes proviennent de ma propre IP publique !!!! De son côté Prelude ne ml'indique aucune attaque... <IMG SRC="images/smiles/icon_cussing.gif"> <BR><BR><font size=-2></font>
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar DgSe95 » 05 Mars 2003 15:34

as tu des machine windows sur ton réseau ? si c'est le cas, ce la peut provenir du protocole netbios, qui balance des demande d'information, et de connection sur les machine du réseaux en broadcast, à la limite verifie les port signalés dans tes alertes si tu vois les port 137, 139, 445 cela pourrais bien être du à netbios....
DgSe95 est de retour :)
Avatar de l’utilisateur
DgSe95
Vice-Amiral
Vice-Amiral
 
Messages: 666
Inscrit le: 03 Mars 2003 01:00
Localisation: Genève, Suisse

Messagepar lembal » 05 Mars 2003 17:07

Non mais c'est bon j'ai trouvé !!! Rien de grave !
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar grosbedos » 05 Mars 2003 17:09

dans le fichier de config de snort tu peu preciser des adresses IP de ton rézo.. <BR>le hic c ke tu doi avoir une adress dynamique sur ton red... <BR>mais y a moy de se debrouillé
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar lembal » 05 Mars 2003 17:33

Non j'ai une IP fixe justement...
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar grosbedos » 05 Mars 2003 17:36

ben le fichier c snort.conf dans /etc certainemen <BR>je pense qu'une foi renseigné tes adresses y te sortira pu toute ces alertes..a verifier (si t alerte avait bien kom sources ton adress red y a pa de prob sa partira)
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar DgSe95 » 05 Mars 2003 22:27

alors ça venait d'où le problème ? <IMG SRC="images/smiles/icon_confused.gif">
DgSe95 est de retour :)
Avatar de l’utilisateur
DgSe95
Vice-Amiral
Vice-Amiral
 
Messages: 666
Inscrit le: 03 Mars 2003 01:00
Localisation: Genève, Suisse


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron