Bonsoir,
J'ai l'IDS Snort 2.0.2 installé sur une Debian SID. Il est configuré
pour écouter tout ce qu'il se passe sur l'interface ppp0 qui possède un
IP dynamique qui change donc régulièrement.
Seulement voila, un logiciel de p2p est installé sur la machine et ping
énormément vers l'extérieur. Du coup, /var/log/snort/portscan2.log est
bourré de message renseignant que JE ping vers l'extérieure, noyant les
autres alertes possibles.
Dans le fichier de conf /etc/snort/snort.conf, voila ce qui est
intéressant :
>#
># Portscan2
>#---
># Portscan 2, detect portscans in a new and exciting way. You must
># enable spp_conversation in order to use this preprocessor.
>#
># Available options:
># scanners_max [num]
># targets_max [num]
># target_limit [num]
># port_limit [num]
># timeout [num]
># log [logdir]
>#
>preprocessor portscan2: scanners_max 256, targets_max 1024,
>target_limit 5, port_limit 20, timeout 60, log portscan2.log
>
># Too many false alerts from portscan2? Tone it down with
># portscan2-ignorehosts!
>#
># A space delimited list of addresses in CIDR notation to ignore
>#
># preprocessor portscan2-ignorehosts: 10.0.0.0/8 192.168.24.0/24
>#
Est ce que je devrais rajouter une ligne "preprocessor
portscan2-ignorehosts: " ?
Si oui, comment mettre l'ip de eth0 puisqu'il est dynamique ?
Si quelqu'un a une solution ce serait sympas, j'ai déjà cherché tout
l'après midi avec google et à tâtons. Merci
Max
Clef GnuPG : http://castor-server.homelinux.org/max/maxlelubre.key.gpg
pgpsPy1fN1h1D.pgp
Description: PGP signature
