10 - Enlever les alertes Snort pour "ICMP PING Cyberkit Windows"

Vous avez un nombre incalculable d'attaque sur l'icmp dans les logs de snort. Et cela vous enlève toute visibilité dans l'exploitation des logs.

Premièrement, passez par le chapitre 1 pour éviter au firewall de répondre au pings, ce n'est pas une attaque très violente, mais elle peut donner des informations et même dans certains cas effectuer un DoS (Deny de Service). Donc une fois configuré le réseau, ce n'est pas vraiment utile de répondre à ce message.

Ensuite, même si les paquets icmp sont bloqués, snort verra les paquets arriver et detectera chaque attaque.

Donc pour enlever la detection de ce type "d'attaque", on va éditer le fichier contenant la règle de detection.

Logué en tant que root, tapez :

vi /etc/snort/icmp.rules

Tapez 29G pour aller à la ligne 29 et la mettre en commentaire (en mode insert ajouter # en début de ligne).

Ce qui donne :

#alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING CyberKit 2.2 Windows"; content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference:arachnids,154; sid:483; classtype:misc-activity; rev:2;)

Voilà, vous allez pouvoir exploiter vos logs et identifier les attaques plus serieuses. ;-)