Snort: Cum să blochezi traficul suspect?

Snort vine implicit (Debian) cu o grămadă de Reguli. Toate sunt configurate ca âAlertâ. Când vreau să blochez traficul suspect (Mod IPS), trebuie să schimb toate Regulile de la Alertă la Blocare sau există alt mecanism?

Care este cea mai bună practică?

Utilizarea snort instalată local pe serverul dvs. de producție nu este o idee bună. deoarece, în cazul unui atac, folosește resursele serverului local pentru a proteja serviciul, iar acest lucru provoacă supraîncărcarea resurselor și serviciul în sine scade.

este o idee bună să separați acest tip de serviciu (IDP(Intrusion-Detection_Prevention)) de serverele dumneavoastră de producție.

O altă sugestie este să utilizați pfSense in schimb. Pfsense este un firewall bazat pe BSD (FreeBSD) cu Snort și multe alte componente activate pe el, cu o interfață grafică excelentă și curată. Deși sunt un mare fan al liniei de comandă, dar în unele cazuri, în special atacurile, ușurința în utilizare este un plus.

Conform documentatiei: https://www.snort.org/faq/readme-filters Puteți seta filtre.

detection_filter este o nouă opțiune de regulă care înlocuiește cuvântul cheie de prag curent într-o regulă. Acesta definește o rată care trebuie depășită de o gazdă sursă sau destinație înainte ca o regulă să poată genera un eveniment.

rate_filter oferă prevenirea atacurilor bazate pe rata, permițând utilizatorilor să configureze o nouă acțiune pe care să o întreprindă pentru o perioadă de timp specificată atunci când o anumită rată este depășită.

event_filter este o comandă autonomă care înlocuiește „pragul”, care este acum învechit. event_filters reduc cantitatea de date înregistrate.