Snort: возможно ли реализовать whitelist с доменами?

tty1

Добрый день, уважаемые господа.
Для дополнительной защиты корпоративной сети установил Snort (4.1.6) на WAN интерфейсе pfSense (2.6.0) и сразу столкнулся с проблемой большого количества false-positive срабатываний. В частности проблема коснулась многих госпорталов (тут понятно - добавляю IP адрес в исключения, проблема решена), серверов обновления Microsoft (видит обновления, скачать не может, отключаю Snort - пошло обновление), но самое неприятное это блокировка облака видеонаблюдения. Дело в том, что серверов очень много, в абсолютно разных подсетях. Запросил поддержку у инженеров видеонаблюдения, сказали, что весь список серверов предоставить не могут, т.к. пул динамический, сервера добавляются и меняются постоянно - и предоставили список доменов, которые нужно прописать в исключения.
Насколько я понимаю, в отличие от того же pfBlockerNG в Snort я не могу прописывать исключения доменов - как быть в такой ситуации?
Пока в голове держу вариант поднятия прокси где нибудь на VPS, пустить весь трафик с камер через этот прокси (прошивка позволяет) и прописать адрес этого прокси в исключения Snort, но это даже не костыль, а костылище по моему!!! :)
Пытался зайти через Supress (блокировки постоянно генерирует http_inspect: "no content-length or transfer-encoding in http response", "range field not present in get method, but response with partial content", "INVALID CONTENT-LENGTH OR CHUNK SIZE", "JUNK LINE BEFORE HTTP RESPONSE HEADER "): нашел на форуме правила, прописал в Supress:

#(http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE
suppress gen_id 120, sig_id 8
#(http_inspect) NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE
suppress gen_id 120, sig_id 3
#(http_inspect) NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE
suppress gen_id 120, sig_id 2

очистил блокировки и перезапустил Snort. Все равно блокирует (по правилам, прописанным в supress)!

В общем пришлось временно отключить Snort, т.к. для руководства все это выглядит как "постоянно ничего не работает!" :) Хочу разобраться и настроить всё по уму...
Так же буду благодарен за ссылки на статьи, которые помогут лучше понять логику работы системы (от мануалов вида "этот чекбокс ставим, этот снимаем" ясности не прибавляется).

werter

Добрый, товарищ.
@tty1
Попробуйте suricata. Оно во мультиядерность умеет в отличие от снорта.
И блокируйте только входящие\in на WAN. Тогда и проблем не будет.

Зы. Господа не помогают - господа бабки рубят. Помогают только товарищи)

tty1

@werter вспомнил, что господ в семнадцатом победили, думал никто не ответит, а тут товарищи на помощь пришли, приятно! :)))
На самом деле тут возможно в самой логике ошибка, у меня нет каких то сервисов наружу (только UDP порт OpenVPN с TLS pre-auth, что в принципе то надежно). Так нужен ли мне Snort на границе WAN-Firewall??
Что я хочу от IPS в первую очередь, так это блокировка бэкконнектов до C2/C2C, реверс-шеллов и т. д. Прислали бухам малварь, открыла она его и ...ничего не произошло! (как в той рекламе протекта от Я).
Возможно мне нужно разместить систему после Firewall, на границе не с глобальной, а с локальной сетью? Тогда IPS "будет знать" о локальных адресах и тогда я смогу в Supress прописать исключение подсети с камерами (намекаю на "track by_src")?

PS. про Suricata в курсе, Снорт поставил чисто интуитивно, "пальцем в небо". Впредь буду выбирать Suricata.