J'ai SNORT qui tourne sur un serveur DEBIAN.
Ma question: faut-il remettre à jour les règles SNORT comme on remet à jour a base antivirus ?
Merci
Message édité par rld le 22-09-2007 à 12:01:31
Publicité
Posté le 07-09-2007 à 22:54:23
vrobaina
Hecho a Mano
Posté le 08-09-2007 à 01:42:04
Oui car il y a regulierement des mises à jour de regles.
Ne pas mettre ces regles à jour implique que snort ne sera pas forcement à meme de detecter une tentative d'intrusion de type ou méthode très recente.
Par contre, je te conseille de mettre aussi en commentaires certaines regles. En effet un IDS c'est très bien mais il faut correctement le paramétrer pour qu'il ne t'alerte pas en continue avec des tentatives mineures (genre scan de ports) sinon tu risques de crouler sous les Alertes et passer à coter de tentatives plus dangeureuses pour la sécurité de ton réseau.
---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
rld
Posté le 08-09-2007 à 08:34:16
OK.
Par contre, cette mise à jour comment se fait-elle ?
Tu fais brtual avec un cron qui télécharge les nouvelles règles et effaces les plus anciennes ?
Ou il y a un binaire avec snort qui s'occupe de faire la mise à jour ?