Snort 默认 (Debian) 带有一系列规则。它们都配置为“警报”。当我想阻止可疑流量 (IPS 模式) 时,我是否需要将所有规则从警报更改为阻止,还是有其他机制?
什么是最佳实践?
答案1
根据文档:https://www.snort.org/faq/readme-filters
您可以设置过滤器。
detection_filter 是一个新的规则选项,用于替换规则中的当前阈值关键字。它定义了源主机或目标主机必须超过的速率,规则才能生成事件。
rate_filter
通过允许用户配置在超过给定速率时在指定时间内采取的新操作,提供基于速率的攻击预防。
event_filter
是一个独立命令,它取代了现在已过时的“threshold”。event_filters 减少了记录的数据量。
答案2
在生产服务器上本地使用安装的 snort 不是一个好主意。因为如果发生攻击,它会使用本地服务器的资源来保护服务,这会导致资源过载并且服务本身会崩溃。
将这种类型的服务(IDP(Inruption-Detection_Prevention))与生产服务器分开是一个好主意。
另一个建议是使用普富思相反。Pfsense 是一款基于 BSD(FreeBSD)的防火墙,启用了 Snort 和许多其他组件,并具有非常漂亮和干净的 GUI。虽然我非常喜欢命令行,但在某些情况下,尤其是攻击,易用性是一个加分点。