Snort: возможно ли реализовать whitelist с доменами?
-
Добрый день, уважаемые господа.
Для дополнительной защиты корпоративной сети установил Snort (4.1.6) на WAN интерфейсе pfSense (2.6.0) и сразу столкнулся с проблемой большого количества false-positive срабатываний. В частности проблема коснулась многих госпорталов (тут понятно - добавляю IP адрес в исключения, проблема решена), серверов обновления Microsoft (видит обновления, скачать не может, отключаю Snort - пошло обновление), но самое неприятное это блокировка облака видеонаблюдения. Дело в том, что серверов очень много, в абсолютно разных подсетях. Запросил поддержку у инженеров видеонаблюдения, сказали, что весь список серверов предоставить не могут, т.к. пул динамический, сервера добавляются и меняются постоянно - и предоставили список доменов, которые нужно прописать в исключения.
Насколько я понимаю, в отличие от того же pfBlockerNG в Snort я не могу прописывать исключения доменов - как быть в такой ситуации?
Пока в голове держу вариант поднятия прокси где нибудь на VPS, пустить весь трафик с камер через этот прокси (прошивка позволяет) и прописать адрес этого прокси в исключения Snort, но это даже не костыль, а костылище по моему!!! :)
Пытался зайти через Supress (блокировки постоянно генерирует http_inspect: "no content-length or transfer-encoding in http response", "range field not present in get method, but response with partial content", "INVALID CONTENT-LENGTH OR CHUNK SIZE", "JUNK LINE BEFORE HTTP RESPONSE HEADER "): нашел на форуме правила, прописал в Supress:#(http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE suppress gen_id 120, sig_id 8 #(http_inspect) NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE suppress gen_id 120, sig_id 3 #(http_inspect) NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE suppress gen_id 120, sig_id 2
очистил блокировки и перезапустил Snort. Все равно блокирует (по правилам, прописанным в supress)!
В общем пришлось временно отключить Snort, т.к. для руководства все это выглядит как "постоянно ничего не работает!" :) Хочу разобраться и настроить всё по уму...
Так же буду благодарен за ссылки на статьи, которые помогут лучше понять логику работы системы (от мануалов вида "этот чекбокс ставим, этот снимаем" ясности не прибавляется). -
Добрый, товарищ.
@tty1
Попробуйте suricata. Оно во мультиядерность умеет в отличие от снорта.
И блокируйте только входящие\in на WAN. Тогда и проблем не будет.Зы. Господа не помогают - господа бабки рубят. Помогают только товарищи)
-
@werter вспомнил, что господ в семнадцатом победили, думал никто не ответит, а тут товарищи на помощь пришли, приятно! :)))
На самом деле тут возможно в самой логике ошибка, у меня нет каких то сервисов наружу (только UDP порт OpenVPN с TLS pre-auth, что в принципе то надежно). Так нужен ли мне Snort на границе WAN-Firewall??
Что я хочу от IPS в первую очередь, так это блокировка бэкконнектов до C2/C2C, реверс-шеллов и т. д. Прислали бухам малварь, открыла она его и ...ничего не произошло! (как в той рекламе протекта от Я).
Возможно мне нужно разместить систему после Firewall, на границе не с глобальной, а с локальной сетью? Тогда IPS "будет знать" о локальных адресах и тогда я смогу в Supress прописать исключение подсети с камерами (намекаю на "track by_src")?PS. про Suricata в курсе, Снорт поставил чисто интуитивно, "пальцем в небо". Впредь буду выбирать Suricata.