Как добавить исключение в Snort?
-
Привет,
подключил модуль Snort в PfSense, теперь хочу отладить его работу перед тем как включить блокировку.
Я обновил Snort, затем создал snort-интерфейс для сетевой карты с интернетом.
В snort-интерфейсе, я включил препроцессор "Portscan Detection", в категориях я выбрал "snort_scan.rules". После этого запустил Snort.
В Snorts Alerts начали "сыпаться" следующие записи:
Date PRI PROTO CLASS SRC SRCPORT DST DSTPORT SID DESCRIPTION
12/10-11:16:42 2 Attempted Information Leak x.x.x.x y.y.y.y1 122:5:1 PSNG_TCP_FILTERED_PORTSCAN
12/10-11:16:27 2 Attempted Information Leak x.x.x.x y.y.y.y2 122:7:1 PSNG_TCP_PORTSWEEP_FILTERED
Где x.x.x.x ip моего внешнего zabbix сервера, а y.y.y.y1 и y.y.y.y2 ip моих внутренних машин с Zabbix клиентами.
Я добавил в WhiteList zabbix-сервер, подключил его к Snort-интерфейсу и перезапустил Snort.
Это не помогло, в Alerts я вижу те же новые записи.
В настройках Snort-интерфейса в настройках Whitelist, есть примечание:
Note:
This option will only be used when block offenders is on.
Я так понимаю, что Whitelist влияет только на блокировку.
Каким образом сделать так, чтобы в Alerts не было ложных предупреждений для трафика, которых приходит с моих внешних серверов?
-
Настройка Snort - http://blog.ueffing.net/pfsense-2-0-snort-whitelisting-aktivieren-block/, http://blog.ueffing.net/pfsense-2-0-snort-whitelisting-aktivieren-block/ (на немецком, но думаю, что разберетесь )
-
Я так и делал - не работает, только я не включал Block offenders. Так как хочу сначала настроить все в режиме IDS.