24 lines
1.5 KiB
Plaintext
24 lines
1.5 KiB
Plaintext
|
Jakub Stefko, 426254
|
||
|
|
|
||
|
|
zadanie 1:
|
||
|
|
Jeśli chcemy blokować jakąś witrynę przed wyświetlaniem w przeglądarce i pingowaniem również przez TLS musimy zmienić tą przykładową regułę i dodać jeszcze jedną.
|
||
|
|
poprawić na:
|
||
|
|
drop dns any any -> any any (msg:"facebook is blocked"; content:"facebook"; classtype:policy-violation; sid:39398144; rev:1;)
|
||
|
|
dodać:
|
||
|
|
drop tls any any -> any any (msg:"facebook is blocked"; tls.subject:"facebook"; classtype:policy-violation; sid:39398145; rev:1;)
|
||
|
|
|
||
|
|
zadanie 2:
|
||
|
|
reguła:
|
||
|
|
alert tcp any any -> any any (msg:"wcale nie zamieniam danych"; content:"tajneDane"; nocase; replace:"*********"; sid:55000001;)
|
||
|
|
log z testowania:
|
||
|
|
12/31/2020-04:01:35.849716 [**] [1:55000001:0] wcale nie zamieniam danych [**] [Classification: (null)] [Priority: 3] TCP 127.0.0.1:48196 -> 127.0.0.1:1234
|
||
|
|
|
||
|
|
zadanie 3:
|
||
|
|
opis:
|
||
|
|
Generalnie w dokumentacji suricata IPS powinien być przed innymi regułami, bo jeśli on pakiet odrzuci to żadne inne reguły nie powinny być sprawdzane.
|
||
|
|
Problem jest taki że jak inne reguły wejdą wcześniej przed IPS i zaakceptują jakichś pakiet to IPS już nie będzie ich analizował.
|
||
|
|
Artykuł proponuje ustawianie NF_REPEAT zamiast NF_ACCEPT dla wyjścia z NFQUEUE co umożliwi IPS'owi przetworzenie pakietu a NFQUEUE oznaczy pakiet jako przetworzony i przestanie go powtarzać.
|
||
|
|
|
||
|
|
wyższość:
|
||
|
|
Pomimo przetworzenia pakietu przez IPS może on być dalej zaakceptowany albo odrzucony przez reguły za IPS'em czego nie ma w rozwiązaniu z zajęć.
|