IPS FPMC

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
piter1789
wannabe
wannabe
Posty: 204
Rejestracja: 01 wrz 2014, 10:46

IPS FPMC

#1

#1 Post autor: piter1789 »

Cześć,

czy można zrobić tłumienie danej reguły na IPS dla konkretnego IP?
Chodzi o to że mam podsieć np. 10.10.10.0/24 i mam zbiór reguł IPS, a jest jeden PC z adresem 10.10.10.100 i chciałbym aby miał tą politykę ale z wyłączoną jedną regułą z IPS?

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: IPS FPMC

#2

#2 Post autor: mihu »

nie robilem ale SFR/FP jest bardziej "flexible" niz stary IPS wiec na pewno tak. sposobow jest kilka:
- zrobic exemption dla IP w sygnaturze w polityce IPS
- skopiowac ta polityke, wylaczyc sygnature i podpiac ja do ACL na FP dla konkratnego adresu

to tak na szybko, pewnie jest jeszcze pare metod
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

Re: IPS FPMC

#3

#3 Post autor: eljot »

Opcja pierwsza ( o ile masz na myśli supression ) nie wyłączy reguły, jeżeli była akcja na drop, ruch będzie dalej dropowany, tylko w logach nie będzie śladu:) Chyba, że sugerujesz zmianę treści samej reguły snortowej.
Opcja nr. dwa jak najbardziej.

Pozdr.

gryz0z
member
member
Posty: 39
Rejestracja: 27 gru 2007, 22:48

Re: IPS FPMC

#4

#4 Post autor: gryz0z »

W przypadku statycznych portów i adresów IP ja robiłem jeszcze wyjątek w Access-Control Policy. Taką dodatkową regułkę z akcją Trust.

W SFR przydała by się możliwość definiowania whitelist per reguła. Wie ktoś może czy jest coś takiego na roadmapie?

ODPOWIEDZ