Hallo Forum / Liste usw. :)

habe hier mehrere snort's (Ver. 2.1.3) auf verschiedene Server / PC am laufen.
Einer davon bringt folgende Meldung.

SCAN Squid Proxy attempt

Das ist auch soweit klar da im selben SubNet der besagte Proxy steht.
Alle User in unserem Netzwerk nutzen den Proxy (Squid, transparent) für http,
volglich bekomme ich entsprechend viele Meldungen von Snort.

Frage, was kann ich tun damit dieser Proxys Server nicht mehr überwacht wird.
Idealerweise nur von diesem Server diesen einzelnen Port nicht ?
Oder gibt es eine andere Lösung eventuell am Web Browser andere Einstellung ?

Danke für jeden Tipp / Hilfe

Stefan

ja, dass wüsste ich auch gern.
Wie dropt man eine Meldung, damit sie nicht ins log kommen?
Es gibt bei snor sowas wie suppress, ich benutze aber gerade prelude mit snort Regeln.

???

Die Frage ist gut, die Lösung dafür wüsste ich selber gerne.

Wenn die User im LAN keine bösen Absichten haben und Dein LAN relativ sicher ist, dann kannst Du mit folgendem versuchen:

preprocessor portscan-ignorehosts: XXX.XXX.XXX.0/24 oder einzelne hosts

Irgendwo kann man doch auch beim preprocessor das Fenster eintellen in dem er etwas als Scan einstuft...

Ich suche mal...

Wenn die User im LAN keine bösen Absichten haben und Dein LAN relativ sicher ist, dann kannst Du mit folgendem versuchen:

preprocessor portscan-ignorehosts: XXX.XXX.XXX.0/24 oder einzelne hosts

blöde Frage: wo mache ich das? einfach in eine rule oder wie?

in /etc/snort/snort.conf

wenn Du statt subnet einzelne Hosts angibst, dann trenn sie mit Leerstellen.

P.S falls snort als daemon laeuft, nach der Aenderung solltest Du:
"/etc/init.d/snort restart" (als root) ausfuehren.

rotten