Snort:Annexes:Exceptions

From aldeid
Jump to navigation Jump to search

Gérer les exceptions de règles

Description

Cette annexe explique comment gérer les exceptions de règles. Ceci peut être particulièrement utile, a fortiori si vous utilisez Guardian comme complément à Snort.
Prenons un exemple : vous disposez d'un serveur Web qui héberge votre site Internet. L'arborescence du projet Web contient, à sa base, un fichier robots.txt qui gère les règles d'indexation des pages de votre site. Les règles identifiées 1852 (WEB-MISC robots.txt access) et 1857 (WEB-MISC robot.txt access) concernent l'accès à ce fichier (robots.txt ou robot.txt). Avec une telle architecture, les robots sont blacklistés par Guardian, qui considère l'accès à ces fichiers comme des attaques potentielles.
C'est pourquoi il est nécessaire de supprimer ces règles.

Ssh-img013.png
Warning
Ne supprimez pas n'importe quelle règle. La suppression d'une règle 1852 ou 1857 peut engendrer des problèmes de sécurité si vous ne savez pas ce que vous faites.

Mise en oeuvre

1. Décommentez la ligne include threshold.conf dans le fichier /etc/snort/snort.conf

2. Récupérez l'identifiant (gen_id et sig_id) de la règle que vous souhaitez supprimer (Le site http://snort.org/ permet la recherche par mot clé).
3. Editez le fichier threshold.conf :

# vim /etc/snort/threshold.conf

4. Puis ajoutez les lignes suivantes :

suppress gen_id 1, sig_id 1852
suppress gen_id 1, sig_id 1857

dans lesquelles vous remplacerez les identifiants de signature (gen_id, sig_id) et adresses IP à votre convenance.

Info.png
Note
Le fichier threshold.conf permettent de régler de manière fine les règles de Snort. Pour plus de renseignements, référez-vous à la documentation du fichier /etc/snort/threshold.conf



Annexes
[Sommaire]
SnortSnarf