Ich bin neu im Forum also wenn das hier die Falsche Kategorie oder sogar das falsche Forum ist dann korrigiert mich
Also ich beschäftige mich erst seit kurzer Zeit aus beruflichen Gründen mit Linux bzw. Debian!
Ich habe folgendes Problem. Ich habe mir Snort auf einer Linux Maschine installiert und lasse die Alarme ,die Snort mir ausgibt in eine MySQL Datenbank schreiben ,welche ich über Acidbase auslesen kann.
Dieser PC steht derzeit in einer Filiale von uns und Soll dort den Traffic überwachen, da es dort öfter zu Mysteriösen ausfällen von Netzwerk Geräten gekommen ist (Stromschwankungen sind ausgeschlossen, wurde schon vom Elektriker geprüft)
Jedoch habe ich das Problem wenn ich mich per SSH auf die Kiste auf wähle erkennt er meine Verbindung als Angriff bzw. logged diese IP in der Datenbank.
Gelegentlich werden auch IPs aus der Filiale selbst als Alarm erkannt.
Meine Frage ist also wie bzw. wo kann ich Snort sagen das er meine IP oder noch besser meinen IP Kreis und den IP Kreis der Filiale nicht mehr als Angriff logged?
Wenn ich in /etc/snort/snort.conf meinen und den Filial IP-Kreis als HOME_NET angebe funktioniert das nicht und alles wird gelogged was die Datenbank schnell unübersichtlich macht!
Auf der Maschine Läuft aktuell Debian 8.5 mit Snort Version 2.8.5.2 (ja ich weiß ist nicht die aktuellste).
Ich hoffe ihr könnt mir helfen denn das ist alles was noch fehlt damit alles rund läuft ;D
)