Cześć,
czy można zrobić tłumienie danej reguły na IPS dla konkretnego IP?
Chodzi o to że mam podsieć np. 10.10.10.0/24 i mam zbiór reguł IPS, a jest jeden PC z adresem 10.10.10.100 i chciałbym aby miał tą politykę ale z wyłączoną jedną regułą z IPS?
IPS FPMC
Re: IPS FPMC
nie robilem ale SFR/FP jest bardziej "flexible" niz stary IPS wiec na pewno tak. sposobow jest kilka:
- zrobic exemption dla IP w sygnaturze w polityce IPS
- skopiowac ta polityke, wylaczyc sygnature i podpiac ja do ACL na FP dla konkratnego adresu
to tak na szybko, pewnie jest jeszcze pare metod
- zrobic exemption dla IP w sygnaturze w polityce IPS
- skopiowac ta polityke, wylaczyc sygnature i podpiac ja do ACL na FP dla konkratnego adresu
to tak na szybko, pewnie jest jeszcze pare metod
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: IPS FPMC
Opcja pierwsza ( o ile masz na myśli supression ) nie wyłączy reguły, jeżeli była akcja na drop, ruch będzie dalej dropowany, tylko w logach nie będzie śladu:) Chyba, że sugerujesz zmianę treści samej reguły snortowej.
Opcja nr. dwa jak najbardziej.
Pozdr.
Opcja nr. dwa jak najbardziej.
Pozdr.
Re: IPS FPMC
W przypadku statycznych portów i adresów IP ja robiłem jeszcze wyjątek w Access-Control Policy. Taką dodatkową regułkę z akcją Trust.
W SFR przydała by się możliwość definiowania whitelist per reguła. Wie ktoś może czy jest coś takiego na roadmapie?
W SFR przydała by się możliwość definiowania whitelist per reguła. Wie ktoś może czy jest coś takiego na roadmapie?