DNWA/5/raport.txt

24 lines
1.5 KiB
Plaintext
Raw Normal View History

2021-01-23 13:18:43 +01:00
Jakub Stefko, 426254
zadanie 1:
Jeśli chcemy blokować jakąś witrynę przed wyświetlaniem w przeglądarce i pingowaniem również przez TLS musimy zmienić tą przykładową regułę i dodać jeszcze jedną.
poprawić na:
drop dns any any -> any any (msg:"facebook is blocked"; content:"facebook"; classtype:policy-violation; sid:39398144; rev:1;)
dodać:
drop tls any any -> any any (msg:"facebook is blocked"; tls.subject:"facebook"; classtype:policy-violation; sid:39398145; rev:1;)
zadanie 2:
reguła:
alert tcp any any -> any any (msg:"wcale nie zamieniam danych"; content:"tajneDane"; nocase; replace:"*********"; sid:55000001;)
log z testowania:
12/31/2020-04:01:35.849716 [**] [1:55000001:0] wcale nie zamieniam danych [**] [Classification: (null)] [Priority: 3] TCP 127.0.0.1:48196 -> 127.0.0.1:1234
zadanie 3:
opis:
Generalnie w dokumentacji suricata IPS powinien być przed innymi regułami, bo jeśli on pakiet odrzuci to żadne inne reguły nie powinny być sprawdzane.
Problem jest taki że jak inne reguły wejdą wcześniej przed IPS i zaakceptują jakichś pakiet to IPS już nie będzie ich analizował.
Artykuł proponuje ustawianie NF_REPEAT zamiast NF_ACCEPT dla wyjścia z NFQUEUE co umożliwi IPS'owi przetworzenie pakietu a NFQUEUE oznaczy pakiet jako przetworzony i przestanie go powtarzać.
wyższość:
Pomimo przetworzenia pakietu przez IPS może on być dalej zaakceptowany albo odrzucony przez reguły za IPS'em czego nie ma w rozwiązaniu z zajęć.