После раскрутки виртуальной машины для Snort (на самом деле BT5 ..) и запуска snort я получаю множество из них:
SNMP Public Access udp [**] [Classification: Attempted Information Leak] [Priority: 2] {UDP} 192.168.1.50.61097 -> 192.168.1.47:161"
Где адрес .50 - это сервер, а сумматор .47 - это поле BT5.
Я предполагаю, что это связано с тем, что модуль Snort работает как виртуальная машина на Hyper-V с использованием виртуального сетевого адаптера, и это связано с трафиком, используемым виртуальной машиной и гипервизором. К сожалению, это не Server 2012 с новой классной функцией зеркалирования портов, это Server 2008R2.
Я не знаток правил фырканья и пока не могу найти достойных ответов о том, как создать правило фырканья для игнорировать этот трафик UDP между этими двумя конечными точками.
Можете ли вы помочь мне?
Дайте Настройка виртуальных сетей чтение, а именно следующее:
Используйте этот тип, если вы хотите предоставить виртуальным машинам доступ к физической сети для связи с внешними серверами и клиентами. Этот тип виртуальной сети также позволяет виртуальным машинам на одном сервере виртуализации взаимодействовать друг с другом. Этот тип сети также может быть доступен для использования операционной системой управления, в зависимости от того, как вы настроили сеть.
Когда вы говорите «адрес .50 - это сервер», я предполагаю, что вы имеете в виду сервер Hyper-V. Весьма вероятно, что сервер Hyper-V настроен либо с выделенным внешним сетевым адаптером, либо сетевая карта, подключенная к тому же внешнему виртуальному коммутатору, который использует ваша установка BackTrack, была выбрана для трафика управления (`` Разрешить трафик управления для совместного использования сетевого адаптера »).
В любом случае вы являются просмотр трафика из родительского раздела на этом сервере Hyper-V на вашем гостевом компьютере. Вероятно, это нормально и по замыслу.
Прошло некоторое время, прежде чем я работал с Snort, но вы должны иметь возможность игнорировать весь трафик TCP и UPD примерно так:
pass tcp 192.168.1.50 any -> any any;
pass udp 192.168.1.50 any -> any any;