Conversation
precedente ou
suivante
Cohabitation Squid / Snort
Envoyé par:
The Nasty Boy
Sur mon réseau local professionnel , j'accède au net via un proxy (172.25.1.1) auquel je n'ai pas d'accès pour l'administration. Le proxy est Squid. Derrière Squid, il y a des postes de travail, ainsi qu'un serveur qui fait firewall(172.25.1.3 et 192.168.0.1) et serveur ftp, avec des postes de travail derrière. Le firewall est là pour isoler ces postes de travail. Sur ce firewall, j'ai un Snort sur chaque interface réseau (Snort 2.1.0, le serveur est une Mandrake 10.0 official, j'ai récupéré les dernières règles sur le site de Snort).
Je remarque que dans les logs de Snort, j'ai ce message intempestif :
Ma configuration des règles de Snort est la suivante :
Suis-je réellement victime de tentatives d'attaques ou est-ce que ce sont des fausses alertes générées par Squid? Merci d'avance.
"Dis-moi petit, n'as-tu jamais dansé avec le diable au clair de lune ?"
Je remarque que dans les logs de Snort, j'ai ce message intempestif :
10/19-14:27:36.641520 [**] [1:1390:5] SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 172.25.1.1:3128 -> 192.168.0.20:1146
10/19-15:01:24.861074 [**] [1:1390:5] SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 192.168.0.16:1453 -> 172.25.1.1:3128
Ce n'est qu'une partie, cela affecte toutes les IP du réseau local privé.
Ma configuration des règles de Snort est la suivante :
include $RULE_PATH/bad-traffic.rules include $RULE_PATH/exploit.rules include $RULE_PATH/scan.rules include $RULE_PATH/finger.rules include $RULE_PATH/ftp.rules include $RULE_PATH/telnet.rules include $RULE_PATH/rpc.rules include $RULE_PATH/rservices.rules include $RULE_PATH/dos.rules include $RULE_PATH/ddos.rules include $RULE_PATH/dns.rules include $RULE_PATH/tftp.rules include $RULE_PATH/web-cgi.rules include $RULE_PATH/web-coldfusion.rules include $RULE_PATH/web-iis.rules include $RULE_PATH/web-frontpage.rules include $RULE_PATH/web-misc.rules include $RULE_PATH/web-client.rules include $RULE_PATH/web-php.rules include $RULE_PATH/sql.rules include $RULE_PATH/x11.rules #include $RULE_PATH/icmp.rules include $RULE_PATH/netbios.rules include $RULE_PATH/misc.rules include $RULE_PATH/attack-responses.rules #include $RULE_PATH/oracle.rules include $RULE_PATH/mysql.rules include $RULE_PATH/snmp.rules include $RULE_PATH/smtp.rules include $RULE_PATH/imap.rules #include $RULE_PATH/pop2.rules include $RULE_PATH/pop3.rules #include $RULE_PATH/nntp.rules include $RULE_PATH/other-ids.rules include $RULE_PATH/web-attacks.rules include $RULE_PATH/backdoor.rules include $RULE_PATH/shellcode.rules # include $RULE_PATH/policy.rules include $RULE_PATH/porn.rules include $RULE_PATH/info.rules #include $RULE_PATH/icmp-info.rules include $RULE_PATH/virus.rules include $RULE_PATH/chat.rules include $RULE_PATH/multimedia.rules include $RULE_PATH/p2p.rules include $RULE_PATH/experimental.rules # Include any thresholding or suppression commands include threshold.conf
Suis-je réellement victime de tentatives d'attaques ou est-ce que ce sont des fausses alertes générées par Squid? Merci d'avance.
"Dis-moi petit, n'as-tu jamais dansé avec le diable au clair de lune ?"
Poste le Tuesday 19 October 2004 15:49:20
Ce forum !
Cohabitation Squid / Snort
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons