Snort:如何配置Snort变量

 
   | |

导读:Snort有很多配置变量和选择,但是最重要的两个是$HOME_NET和$EXTERNAL_NET。本文中介绍如何配置和设置这两个主要变量,此外也提到乐如何设置其它变量。

关键词:Snort 变量 $HOME_NET $EXTERNAL_NET 变量 设置

 
正在加载数据... 【TechTarget中国原创】Snort有很多配置变量和选择,但是最重要的两个是$HOME_NET和$EXTERNAL_NET。$HOME_NET是详细说明网络或者你想要保护的网络的变量,而$EXTERNAL_NET是你连接的外部的、不受信任的网络。这些变量实际上用于所有的规则,来指定信息包的来源和目的地的标准……

【TechTarget中国原创】Snort有很多配置变量和选择,但是最重要的两个是$HOME_NET和$EXTERNAL_NET。$HOME_NET是详细说明网络或者你想要保护的网络的变量,而$EXTERNAL_NET是你连接的外部的、不受信任的网络。这些变量实际上用于所有的规则,来指定信息包的来源和目的地的标准。

  两种变量的默认值是“any”,意思就是字面上的意思。设置$HOME_NET不需要费脑子。把这个变量配置到网络或者你想保护的网络上,就像在snort.conf配置文件中演示的那样。

  $EXTERNAL_NET更加灵活,而且有两种管理配置这个变量的方法。第一个是把它设置为默认的“any”,因为这样可以找出多数的事件。第二个方法是选择!$HOME_NET,照字面意思就是不属于$HOME_NET的任何东西,因为这种设置可以减少假阳性,而且可以使Snort的运行更有效。尽管如此,它可能错失内部道内部(例如$HOME_NET到$HOME_NET)的 攻击。因为60%到80%的攻击是内部的,这取决于你阅读的调查,我推荐把$EXTERNAL_NET设置为any。还有,如果$HOME_NET设置为any,就不要把$EXTERNAL_NET设置为!$HOME_NET,因为这样就使$EXTERNAL_NET不做设置。

  还有一些其它变量可以详细说明DNS、SMTP、HTTP、SQL、Telnet、 SNMP、AIM服务器、HTTP、SHELLCODE以及 Oracle端口。所有服务器变量的默认值是把他们设置为$HOME_NET,这也是正确设置的另一个原因。这样工作良好,但是你可能发现你可以通过更详细的设置这些变量降低假阳性。如果使用的是不标准的端口,就应该验证端口变量,但是也可以不做处理。

 
查看全文
 
 
 
 
 

入侵检测系统

 
基于规则驱动的Snort IDS有其官方规则集,用户也可自定义规则以检测应用程序的流量。然而当网络中没有相应的数据流量时该如何测试?这时就可利用Scapy工具……
 
蜜罐技术能提供针对企业环境攻击行为的大量细节信息,但一定要小心,蜜罐技术也会带来很大的风险。企业在采用这项技术之前,有很多重要的问题需要认真考虑……
 
我的FreeBSD路由器有两个网络接口卡,我可以安装一个类似Snort的工具吗?如果可以,那么需要进行哪些配置?Techtarget专家Mike Chapple给出的答案是……
 
系统管理员需要跟黑客一样勤奋,做到时刻检查和监视系统。本文将介绍为防范数据泄漏,可采取的跟踪数据和应用程序的一些方法。
 
没有任何一种入侵检测技术是100%有效的。基于异常的产品必须进行小心配置才能识别出正常行为,但仍可能产生误报。基于签名的产品不能检测出零日攻击。
 

登录TechTarget中国

关闭
本服务仅向TechTarget中国的会员开放,请登录或立即免费注册
登录Email
请输入您的登录Email
密码
下次自动登录