Как добавить исключение в Snort?



  • Привет,
    подключил модуль Snort в PfSense, теперь хочу отладить его работу перед тем как включить блокировку.
    Я обновил Snort, затем создал snort-интерфейс для сетевой карты с интернетом.
    В snort-интерфейсе, я включил препроцессор "Portscan Detection", в категориях я выбрал "snort_scan.rules". После этого запустил Snort.
    В Snorts Alerts начали "сыпаться" следующие записи:
    Date PRI PROTO CLASS SRC SRCPORT DST DSTPORT SID DESCRIPTION
    12/10-11:16:42 2 Attempted Information Leak x.x.x.x y.y.y.y1 122:5:1 PSNG_TCP_FILTERED_PORTSCAN
    12/10-11:16:27 2 Attempted Information Leak x.x.x.x y.y.y.y2 122:7:1 PSNG_TCP_PORTSWEEP_FILTERED
    Где x.x.x.x ip моего внешнего zabbix сервера, а y.y.y.y1 и y.y.y.y2 ip моих внутренних машин с Zabbix клиентами.
    Я добавил в WhiteList zabbix-сервер, подключил его к Snort-интерфейсу и перезапустил Snort.
    Это не помогло, в Alerts я вижу те же новые записи.
    В настройках Snort-интерфейса в настройках Whitelist, есть примечание:
    Note:
    This option will only be used when block offenders is on.
    Я так понимаю, что Whitelist влияет только на блокировку.
    Каким образом сделать так, чтобы в Alerts не было ложных предупреждений для трафика, которых приходит с моих внешних серверов?



  • Настройка Snort - http://blog.ueffing.net/pfsense-2-0-snort-whitelisting-aktivieren-block/, http://blog.ueffing.net/pfsense-2-0-snort-whitelisting-aktivieren-block/ (на немецком, но думаю, что разберетесь )



  • Я так и делал - не работает, только я не включал Block offenders. Так как хочу сначала настроить все в режиме IDS.


Locked