IPS blokovanie spojenia

Tibor

IPS blokovanie spojenia
« kdy: 26. 12. 2018, 15:16:46 »
Prevádzkuje niekto opensource IPS, ktorá dokáže blokovať spojenie namiesto hosta? Vraj to vie Suricata v legacy móde, ale je to vraj veľmi nespoľahlivé.


xhamsterr

Re:IPS blokovanie spojenia
« Odpověď #1 kdy: 29. 12. 2018, 16:19:52 »
Muzes to prelozit?

Tibor

Re:IPS blokovanie spojenia
« Odpověď #2 kdy: 30. 12. 2018, 11:36:12 »
Komerčné IPS v inline móde dokážu okrem iného buď resetovať (TCP) spojenie alebo ho zakázať t.j. dropnúť. AFAIK Snort a Suricata v spolupráci s iptables/pf dokážu blokovať iba IP narušiteľa na určitý čas. Ja potrebujem iba blokovať napr. torrenty. Teda klientovi bude fungovať browsovanie, pošta a iné, len nie torrenty. Ak by som použil Snort/Suricata, tak tie klientovi zablokujú celkom prístup na internet.

jouda

Re:IPS blokovanie spojenia
« Odpověď #3 kdy: 30. 12. 2018, 12:16:55 »
Komerčné IPS v inline móde dokážu okrem iného buď resetovať (TCP) spojenie alebo ho zakázať t.j. dropnúť. AFAIK Snort
Tak Snort to uměl drahně let zpátky resetovat taky, ještě před komercializací, od té doby jsem si s ním nehrál.
... ale hned první odkaz https://stackoverflow.com/questions/22126452/snort-ips-rule-reject-work-but-drop-and-sdrop-dont-work

BTW Co Vás vede k tomu blokovat torrenty na IPSku a ne na firewallu, kde by to asi bylo obvyklejší?

suamraj

Re:IPS blokovanie spojenia
« Odpověď #4 kdy: 30. 12. 2018, 13:21:23 »
a on je rozdíl mezi IPS a firewallem( není to jen jiný program na stejném kompu?) Mimochodem není to ISP?


Re:IPS blokovanie spojenia
« Odpověď #5 kdy: 30. 12. 2018, 14:16:10 »
a on je rozdíl mezi IPS a firewallem( není to jen jiný program na stejném kompu?) Mimochodem není to ISP?
Není to ISP, je to Intrusion Prevention Systems (IPS) nebo také Intrusion Detection System (IDS). Firewall je jenom podmnožina nebo součást IPS.