Re: [slack-users] snort + acid

Mon, 25 Aug 2003 00:58:01 +0000 

Ol� Paulo,

    Depende muito a quantidade dos ataques reais que voc� sofre diariamente.

    Ser� que n�o h� falsas afirmativas sendo logadas ? Na �ltima empresa ao
qual
    eu instalei o snort, acabei desativando 56 regras.

    Limpar as "rules" � o primeiro passo para voc� ter uma ferramenta IDS
confi�vel.

    Se j� estiver tudo certo voc� pode fazer o "normal", que � limpar a
database via Acid
    L� tem "Delete alerts" ____ [Entire Query], ou um script SQL para fazer
tal limpesa,
   e nos caso dos logs, fazer uma rotina mensal para a compacta��o.

    Se poss�vel, implante o snort na m�quina ao qual passa todo o trafego,
como um firewall.
    Desta forma ir� abranger todos os servidores.

    Abra�os

---
Giovanni Moser Frainer
Consultor em TI

----- Original Message ----- 
From: "Paulo Henrique Fonseca" <[EMAIL PROTECTED]>
To: "Slack-Users" <[EMAIL PROTECTED]>
Sent: Friday, August 15, 2003 2:00 PM
Subject: [slack-users] snort + acid


Pessoal, consegui colocar o snort pra funcionar junto com o mysql,
gracas a ajuda do pessoal da lista, mas agora estou com algumas duvidas,
o diretorio /var/log/snort/ esta ficando enorme, e o arquivo alert tbem,
sem contar o db no mysql, minha duvida eh:
Existe alguma ferramenta pra sumarizar todas estas informacoes ou eu
posso apaga-las? (acho q apagar � eh o caminho ideal)
Como vc's procedem nesses casos, a unica solucao eh ficar com um bd
enorme e um diretorio de log imenso ou dah pra contornar isso?
Eu jah notei q chega muita porcaria nos meus server's...icmp, udp, tcp,
tem de tudo....e isso num server q soh tem smtp e pop e por ae vai...
Estive pensando em comentar algumas regras (rules) no snort.conf, mas
acho q isso tbem � eh a saida...
Alguem tem alguma solucao...hoje tenho o snort rodando em apenas um
servidor, mas vou colocar ele em varios outros e quero centralizar todas
as informacoes em um unico bd (mysql), soh q se continuar assim meu db
vai explodir de tao grande....hehehehe
Ah...por ultimo, alguem conhece alguma lista de discussao sobre snort aq
no brasil?
Valeu's...
t+
-- 
Paulo Henrique Fonseca
[EMAIL PROTECTED]
ICQ 45451926
Linux user #238451


_______________________________________________
slack-users mailing list
[EMAIL PROTECTED]
http://www.linuxmag.com.br/mailman/listinfo/slack-users



_______________________________________________
slack-users mailing list
[EMAIL PROTECTED]
http://www.linuxmag.com.br/mailman/listinfo/slack-users

Responder a