Jump to content
Local
Djenya

Фильтрация вредоносного трафика на GW

Recommended Posts

Подскажите кто и как фильтрует трафик GW на наличие ботнетов, вирусов, Malvare, фишинга и прочей заразы? Меня интересует как эту всю заразу не выпускать со своего GW. Есть ли какие-то решения, как это все можно отфильтровать?

Share this post


Link to post
Share on other sites

Ми використовуємо suricata в режимі IPS. Бази обновляэмо раз в добу через oinkmaster. Спочатку варто покрутити suricata в режимі IDS і кілька тижнів візуально аналізувати логи перш ніж прийняти рішення що саме блокувати.

Edited by kha0s

Share this post


Link to post
Share on other sites

Ми використовуємо suricata в режимі IPS. Бази обновляэмо раз в добу через oinkmaster. Спочатку варто покрутити suricata в режимі IDS і кілька тижнів візуально аналізувати логи перш ніж прийняти рішення що саме блокувати.

 

Да, слышали о таком. С какими именно списками работает? И угрозы блокирует на автомате, или помечает их, а потом нужно ручками все делать?

Share this post


Link to post
Share on other sites

Працюєо зі штатними безкоштовними, проаналізувавши дані за кільки тижнів визначилися які рулесети блокувати а які ні. Блокуємо автоматично.

Share this post


Link to post
Share on other sites

Працюєо зі штатними безкоштовними, проаналізувавши дані за кільки тижнів визначилися які рулесети блокувати а які ні. Блокуємо автоматично.

 

А какой конфигурации сервер, где стоит сурикат? так-как начали его ставить у себя, но он очень прожорлив, много ресурсов нужно, связано это с тем, что Яву использует.

Share this post


Link to post
Share on other sites

Сервери різні. Один в hetzner на I7, один HP Proliant на xeon, один AMD FX4100. Всюди Ubuntu 16 LTS. В режимі AF_PACKET він дуже шустрий, але ми всюди використовуємо в режимі NFQ. Якщо ставити не на одноядерний процесор то не бачу причин для хвилювання. Хіба у вас трафік за 10G.

Share this post


Link to post
Share on other sites

Сервери різні. Один в hetzner на I7, один HP Proliant на xeon, один AMD FX4100. Всюди Ubuntu 16 LTS. В режимі AF_PACKET він дуже шустрий, але ми всюди використовуємо в режимі NFQ. Якщо ставити не на одноядерний процесор то не бачу причин для хвилювання. Хіба у вас трафік за 10G.

 

 

А какой проц и сколько оператвы у ваших серверов? И я так понял, что данный сервер у вас стоит не локально, а удаленно. На удаленный сервер, вы просто даете статистику с суриката, или в реальном времени через него гоняете траф и сразу его анализируете?

 

мы просто на обычной машине с оперативкой в 7Гб не можем запустить суриката, пишет что ему не хватает ресурсов.

Share this post


Link to post
Share on other sites

Який проц можна глянути вище. Принаймі AMD FX4100 ідентифікується дуже конкретно. Оперативки від 8 і більше. suricata з'їдає десь коло 2 Гб оперативки. Що значить "стоїть не локально" не розумію. Сурікати стоять там де треба щось захищати.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Gercee
      Всем добрый день. 

      Возникла такая необходимость вести учет трафика по каждому из ONT. 
      А Именно нужно видеть во временных рамках - к примеру с 1.08.2019 по 2.08.2019. Сколько было у ONT X трафика. 

      Возможно есть готовые решения ? Гугл к сожалению ничего не смог подсказать.. 
      Если нет, но представляете в какую сторону копать, прошу подскажите, спасибо 
    • By insigma
      Интересует трафик Сарны, Ровенской обл от 1гб
    • By BALTAR
      BDCOM P3310С, и 100 onu-зоопарк Stels FD111HZ и Phyhome FHR1100GK
      После аварийного обрыва питания большинство абонентов не могут авторизоваться (pppoe поднимается на роутерах/пк), помогает только удаление всех регистраций onu с BDCOM и ребут, после повторной регистрации onu-авторизация поднимается!
      Кто сталкивался?
      Конфиг ниже.
       
       
       
       
    • By region14
      Стоит ubilling на чистом freebsd 9.3, тариф помегабайтный без абонплаты.
      Внешняя сеть "dhcp"
      Внутреняя "192.168.1.1"
      Сеть для общения с биллингом "10.10.0.99"
       
      Биллинг не подсчитывает трафик в реальном времени, например начисляю 100 денег и начинаю выходит в интернет и слежу за балансом, но баланс не снимается. Через какое то снимается, но не полностью, а пару рублей.
       
      Как исправить? Надо чтобы с каждым обновлением страницы личного кабинета, обновлялся баланс
    • By MisterioN99
      Привет всем Форумчанам!
       
      Проблема следующая - в какой-то определенный момент по сети активно начал гулять совершенно непонятный WiFi трафик. Причем нередко занимает до 80% скорости абонента. 
       
      В сети используется только оборудование  Ubiquiti. Есть небольшой сегмент с Deliberant в виде CPE. И он работал достаточно долго без каких-либо проблем.
       
      В итоге, по мониторингу канал забит в штатном режиме, а вот по факту клиенты получают 2-3 Мбит/с вместо 10. Настройка WLANов (почти на всех узлах стоят Edge-Core) ничего совершенно не дает, все CPE переведены в режим роутера - разного рода какашки должны оставаться за ними. 
       
      Самое интересное, что проблема возникла резко. Никаких манипуляций, способных привести к этому просто не совершалось.
       
      И при всем этом на девайсах порядка 4-8 Мбит/с трафика и исключительно по WiFi.
       
      Подскажите плиз, в чем наш фейл и как это излечить... Если это реально
       
      Заранее Вам благодарен.
×