Здравствуй LOR. Нужно настроить suricata как Host based IPS. Предупреждаю что раньше с этим дело не имел.
Есть сервер CentOS7 на котором крутится nginx как reverse proxy, и на нём нужно настроить suricat'у чтобы анализировала 80-ый порт.
Что я сделал:
- Скачал сырцы и компильнул их с поддержкой nfq.
- добавил iptables правило
-A INPUT -p tcp --dport 80 -j NFQUEUE --queue-num 2 -A OUTPUT -p tcp --sport 80 -j NFQUEUE --queue-num 2
- Слегка подпилил suricata.yaml
nfq: mode: accept repeat-mark: 1 repeat-mask: 1
- Включил логирование дропнутых пакетов
- drop: enabled: yes filename: drop.log - Запустил suricat'у
suricata -c suricata.yaml -q 2 - И натравил на свой прокси пару эксплойтов, wafw00f и w3af.
Что получил в итоге:
- Счетчики iptables нарастают
- fast.log ругается на атаку.
- http.log показыват http трафик
- но в drop.log пустота. И соответсвено suricata ничего не дропает.
В целом конфиг почти что дефолтный, особо и нечего показывать suricata.yaml
Прочитал статей 20, всюду указывают что этого достаточно для host based ips. Но у меня выходит немного иной результат.
suricata --build-info
Дорогие знатоки. Что нужно еще подпилить чтобы оно работало как IPS?
UPDATE : такс... я заметил что во всех правилах как action выставлен alert. Я попробовал заменить его на drop и в drop.log посыпались сообщения.
Теперь у меня другой вопрос? Можно ли как то настроить drop нежелательным пакетам чтобы не приходилось изменять все правила?