Snort เป็นค่าเริ่มต้น (Debian) พร้อมด้วยกฎมากมาย ทั้งหมดได้รับการกำหนดค่าเป็น âAlertâ เมื่อฉันต้องการบล็อกทราฟฟิกที่น่าสงสัย (โหมด IPS) ฉันจำเป็นต้องเปลี่ยนกฎทั้งหมดจาก Alert เป็น Block หรือมีกลไกอื่นอีกหรือไม่
แนวปฏิบัติที่ดีที่สุดคืออะไร?
ตามเอกสาร: https://www.snort.org/faq/readme-filters
คุณสามารถตั้งค่าตัวกรอง
Detection_filter เป็นตัวเลือกกฎใหม่ที่แทนที่คำหลักเกณฑ์ปัจจุบันในกฎ มันกำหนดอัตราที่โฮสต์ต้นทางหรือปลายทางต้องเกินก่อนที่กฎจะสร้างเหตุการณ์ได้
อัตรา_ตัวกรอง ให้การป้องกันการโจมตีตามอัตราโดยอนุญาตให้ผู้ใช้กำหนดค่าการดำเนินการใหม่ตามเวลาที่กำหนดเมื่อเกินอัตราที่กำหนด
เหตุการณ์_ตัวกรอง เป็นคำสั่งแบบสแตนด์อโลนซึ่งแทนที่ 'เกณฑ์' ซึ่งล้าสมัยไปแล้ว event_filters ลดจำนวนข้อมูลที่บันทึกไว้
การใช้ snort ที่ติดตั้งในเครื่องบนเซิร์ฟเวอร์ที่ใช้งานจริงของคุณไม่ใช่ความคิดที่ดี เนื่องจากในกรณีของการโจมตี จะใช้ทรัพยากรของเซิร์ฟเวอร์ภายในเครื่องของคุณเพื่อปกป้องบริการ ซึ่งเป็นสาเหตุให้ทรัพยากรเกินพิกัดและบริการเองก็หยุดทำงาน
เป็นความคิดที่ดีที่จะแยกบริการประเภทนี้ (IDP(Intrusion-Detection_Prevention)) ออกจากเซิร์ฟเวอร์ที่ใช้งานจริงของคุณ
ข้อแนะนำอีกประการหนึ่งคือการใช้ pfSense แทน. Pfsense เป็นไฟร์วอลล์ที่ใช้ BSD (FreeBSD) ที่มี Snort และส่วนประกอบอื่น ๆ อีกมากมายที่เปิดใช้งานด้วย GUI ที่ดีและสะอาดตา แม้ว่าฉันจะเป็นแฟนตัวยงของ command-line แต่ในบางกรณี โดยเฉพาะการโจมตี การใช้งานง่ายก็เป็นข้อดี
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
