Каков наилучший способ включить различные правила для разных подсет в Snort?

Question

У нас есть snort, работающий на одном из наших серверов, который имеет сетевой интерфейс с конфигурацией подсети 192.168.0.0/16 Я хочу включить определенное правило, например правило чата с sid: 2002027, до 192.168.1.0/24, но я не хочу правило должно быть активным для 192.168.2.0/24. Каков наилучший способ достичь этого?

alert tcp any 6666:7000 -> any any (msg:"ET CHAT IRC PING command"; flow:from_server,established; content:"PING|20|"; depth:5; flowbits:set,is_proto_irc; reference:url,doc.emergingthreats.net/2002027; classtype:misc-activity; sid:2002027; rev:13;) 

А также, любое ключевое слово, как в приведенном выше правиле должно быть ограничено 192.168.1.0/24. В противном случае это повлияет на 192.168.2.0/24. И я пытаюсь автоматизировать это, потому что у нас может быть много подсетей и множество разных правил для этих подсетей.

Любой совет будет здорово

Answer 1

Вы можете использовать несколько конфигураций особенность фырканье.

Snort теперь поддерживает несколько конфигураций на основе идентификатора VLAN или IP-подсети в рамках одного экземпляра Snort. Это будет , чтобы администраторы могли указывать несколько файлов конфигурации snort и привязывать каждую конфигурацию к одной или нескольким VLAN или подсетям, а не к запуску одного Snort для каждой необходимой конфигурации. Каждый уникальный файл конфигурации snort будет создать новый экземпляр конфигурации в snort.

Для получения дополнительной информации см «Несколько конфигураций» в https://www.snort.org/documents/snort-users-manual

Answer 2

Если вы просто хотите это конкретные правила, чтобы соответствовать что-либо в подсети 192.168.1.0/24 то просто определить, что в заголовке правила. Если 192.168.1.0/24 является диапазон для сервера IP-адресов, то заголовок правила просто выглядеть, как показано ниже:

оповещения ТСР 192.168.1.0/24 6666: 7000 -> любой любой

Если вы хотите использовать это в нескольких правилах и иметь возможность добавлять IP-адреса, тогда вы должны определить variable для этих IP-адресов и использовать переменную во всех своих правилах. Например, в вашем snort.conf вы можете добавить что-то вроде следующего:

ipvar MY_SERVERS [192.168.1.0/24]

И во всех ваших правил, которые вы определили бы заголовок вроде следующего:

оповещения TCP $ MY_SERVERS 6666: 7000 -> любой любой

Вы даже можете охватить всю/16 и просто опустить/24 для этой переменной, а тем самым определяя переменную следующим образом:

ipvar MY_SERVERS [ 192.168.0.0/16,! 192 .168.2.0/24]

Это приведет к тому, что переменная включает все IP-адреса в подсети 192.168.0.0/16, за исключением IP-адресов, входящих в диапазон подсети 192.168.2.0/24.