LINUX.ORG.RU

Вопрос про snort

 , ,


0

2

Всем привет.

Есть вопрос к знающим людям.

Есть такая IPS Snort, она прекрасно генерирует алерты по опредленным правилам - ну как пример из интернетов:

правило:

alert tcp any any -> any 11110 (msg:«TEST log 11110/tcp»; sid:1111110;)

и генерирующийся алерт:

[**] [1:1111110:0] TEST log 11110/tcp [**]
[Priority: 0]
10/21-13:54:00.966472 x.x.x.x:33286 -> y.y.y.y:11110
TCP TTL:58 TOS:0x10 ID:18299 IpLen:20 DgmLen:60 DF
******S* Seq: 0x8427E310  Ack: 0x0  Win: 0xFFFF  TcpLen: 40
TCP Options (5) => MSS: 1460 NOP WS: 3 SackOK TS: 3276482866 0

Что хочется, чтобы не только генерировался алерт, а чтобы еще выполнялось некое действие (скажем дергается скрипт, который на лету подправляет правило фаервола - например форвардить пакет куда-нибудь). Так вот _готового_ решения я не смог найти, есть некие плагины для snort - snortsam, они позволяют работать с фаерволами, но только чтобы блочить, а этого мне мало.

Собственно вопрос - есть ли готовые решения, или придется что-то велосипедить, что будет скажем постоянно парсить вывод алертов и по этим делам уже запускать необходимое действие. Или все таки есть то что я хочу, просто это надо найти, взять и использовать?

Всем спасибо.

★★

Решения нет, только если что-то самописное писать. У снорта много ложных срабатываний. (что как раз таки не есть плохо).
Обычно фильтруют что-то особенное будь то например кто-то идет на определенный порт, дергает админку и т.д. ну и потом пишут костыль.
Snort и является IDS, а не IPS
Думаю нужно смотреть либо в сторону Suricata, но хз подойдет или нет.
Можно глянуть в сторону splunk + snort + погулить что добавить или splunk + snort + ciscoips

anonymous_sama ★★★★★ ()
Ответ на: комментарий от anonymous_sama

Обычно фильтруют что-то особенное

так и есть, в шапке просто пример привел

ну и потом пишут костыль.

этого и хотелось избежать

Suricata

splunk

буду смотреть, спасибо.

xscrew ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.