mdkuser
22.06.04, 08:55
Hallo, kurze Frage:
ich habe snortn installiert und konfiguriert. Jezt kann ich als alertmodus full oder fast einstellen, dann loggt snort jedoch keine ping requests oder portscanns in die mysqldatenbank. gebe ich die option -A (alertmodus) nicht an loggt snort alles fleissig in die datenbank.
soweit so gut, aber er loggt auch ping requests, die von IPs, die unter Home_NET in der snort.conf definiert sind. Home_NET stellt aber doch meines wissens nach freundesland dar und sollte von snort also auch nicht als potentieller "angriff" geloggt werden.
Wie muss ich also snort anweisen, damit er zwar alle portscans, ping requests etc die ausserhalb des unter HOME_NET definierten Netzwerks liegen loggt, jedoch nichts loggt, wenn die IP der anfragenden Rechners innerhalb des unter HOME_NET definierten Netzwerkberichs liegt?
ich habe snortn installiert und konfiguriert. Jezt kann ich als alertmodus full oder fast einstellen, dann loggt snort jedoch keine ping requests oder portscanns in die mysqldatenbank. gebe ich die option -A (alertmodus) nicht an loggt snort alles fleissig in die datenbank.
soweit so gut, aber er loggt auch ping requests, die von IPs, die unter Home_NET in der snort.conf definiert sind. Home_NET stellt aber doch meines wissens nach freundesland dar und sollte von snort also auch nicht als potentieller "angriff" geloggt werden.
Wie muss ich also snort anweisen, damit er zwar alle portscans, ping requests etc die ausserhalb des unter HOME_NET definierten Netzwerks liegen loggt, jedoch nichts loggt, wenn die IP der anfragenden Rechners innerhalb des unter HOME_NET definierten Netzwerkberichs liegt?