Strona 1 z 1
IPS FPMC
: 24 mar 2017, 13:22
autor: piter1789
Cześć,
czy można zrobić tłumienie danej reguły na IPS dla konkretnego IP?
Chodzi o to że mam podsieć np. 10.10.10.0/24 i mam zbiór reguł IPS, a jest jeden PC z adresem 10.10.10.100 i chciałbym aby miał tą politykę ale z wyłączoną jedną regułą z IPS?
Re: IPS FPMC
: 24 mar 2017, 17:06
autor: mihu
nie robilem ale SFR/FP jest bardziej "flexible" niz stary IPS wiec na pewno tak. sposobow jest kilka:
- zrobic exemption dla IP w sygnaturze w polityce IPS
- skopiowac ta polityke, wylaczyc sygnature i podpiac ja do ACL na FP dla konkratnego adresu
to tak na szybko, pewnie jest jeszcze pare metod
Re: IPS FPMC
: 24 mar 2017, 22:15
autor: eljot
Opcja pierwsza ( o ile masz na myśli supression ) nie wyłączy reguły, jeżeli była akcja na drop, ruch będzie dalej dropowany, tylko w logach nie będzie śladu:) Chyba, że sugerujesz zmianę treści samej reguły snortowej.
Opcja nr. dwa jak najbardziej.
Pozdr.
Re: IPS FPMC
: 30 mar 2017, 10:24
autor: gryz0z
W przypadku statycznych portów i adresów IP ja robiłem jeszcze wyjątek w Access-Control Policy. Taką dodatkową regułkę z akcją Trust.
W SFR przydała by się możliwość definiowania whitelist per reguła. Wie ktoś może czy jest coś takiego na roadmapie?