dubbio [ids :Snort]

[toni00t]

ciao ho usato snort nel tardo 2008: per rilevare tentativi di intrusione è fenomenale : ho provato ad attaccarmi io stesso da internet e ho anche ricevuto un attacco di livello 4 da qualcun altro , ma il problema è che non mi dice l ip dell attaccante,ma quello del router ; qualcuno sa perchè e come rimediare?

snort era posto dentro la rete locale : all esterno c'è il router nat
in alternativa come mettere snort nel router o addirittura prima di esso ?
qual'è la posizione ottimale per sistemare l'ids?

grazie

[WarDuck]

Premesso che se sei dietro NAT dovresti vedere quali porte hai forwardato e verso quale macchina (di fatto il resto della rete è nascosta dietro il NAT quindi da fuori si vede poco della topologia della rete).

Ad ogni modo se vuoi intercettare attacchi dall'esterno verso la tua rete dovresti collocare Snort sul router, ma a meno che tu abbia una macchina che faccia da router la vedo un po' dura.

[toni00t]

Quote:

Originariamente inviato da WarDuck

Premesso che se sei dietro NAT dovresti vedere quali porte hai forwardato e verso quale macchina (di fatto il resto della rete è nascosta dietro il NAT quindi da fuori si vede poco della topologia della rete).

Ad ogni modo se vuoi intercettare attacchi dall'esterno verso la tua rete dovresti collocare Snort sul router, ma a meno che tu abbia una macchina che faccia da router la vedo un po' dura.

ciao grazie ,ma se tutto ciò è così ostico a cosa serveno gli IDS?
oltretutto avere un altro pc linux che faccia da router significa poter aver altri problemi di vulnerabilità !