Перейти до

Фильтрация вредоносного трафика на GW


Рекомендованные сообщения

Подскажите кто и как фильтрует трафик GW на наличие ботнетов, вирусов, Malvare, фишинга и прочей заразы? Меня интересует как эту всю заразу не выпускать со своего GW. Есть ли какие-то решения, как это все можно отфильтровать?

Ссылка на сообщение
Поделиться на других сайтах

Ми використовуємо suricata в режимі IPS. Бази обновляэмо раз в добу через oinkmaster. Спочатку варто покрутити suricata в режимі IDS і кілька тижнів візуально аналізувати логи перш ніж прийняти рішення що саме блокувати.

Відредаговано kha0s
Ссылка на сообщение
Поделиться на других сайтах

Ми використовуємо suricata в режимі IPS. Бази обновляэмо раз в добу через oinkmaster. Спочатку варто покрутити suricata в режимі IDS і кілька тижнів візуально аналізувати логи перш ніж прийняти рішення що саме блокувати.

 

Да, слышали о таком. С какими именно списками работает? И угрозы блокирует на автомате, или помечает их, а потом нужно ручками все делать?

Ссылка на сообщение
Поделиться на других сайтах

Працюєо зі штатними безкоштовними, проаналізувавши дані за кільки тижнів визначилися які рулесети блокувати а які ні. Блокуємо автоматично.

Ссылка на сообщение
Поделиться на других сайтах

Працюєо зі штатними безкоштовними, проаналізувавши дані за кільки тижнів визначилися які рулесети блокувати а які ні. Блокуємо автоматично.

 

А какой конфигурации сервер, где стоит сурикат? так-как начали его ставить у себя, но он очень прожорлив, много ресурсов нужно, связано это с тем, что Яву использует.

Ссылка на сообщение
Поделиться на других сайтах

Сервери різні. Один в hetzner на I7, один HP Proliant на xeon, один AMD FX4100. Всюди Ubuntu 16 LTS. В режимі AF_PACKET він дуже шустрий, але ми всюди використовуємо в режимі NFQ. Якщо ставити не на одноядерний процесор то не бачу причин для хвилювання. Хіба у вас трафік за 10G.

Ссылка на сообщение
Поделиться на других сайтах

Сервери різні. Один в hetzner на I7, один HP Proliant на xeon, один AMD FX4100. Всюди Ubuntu 16 LTS. В режимі AF_PACKET він дуже шустрий, але ми всюди використовуємо в режимі NFQ. Якщо ставити не на одноядерний процесор то не бачу причин для хвилювання. Хіба у вас трафік за 10G.

 

 

А какой проц и сколько оператвы у ваших серверов? И я так понял, что данный сервер у вас стоит не локально, а удаленно. На удаленный сервер, вы просто даете статистику с суриката, или в реальном времени через него гоняете траф и сразу его анализируете?

 

мы просто на обычной машине с оперативкой в 7Гб не можем запустить суриката, пишет что ему не хватает ресурсов.

Ссылка на сообщение
Поделиться на других сайтах

Який проц можна глянути вище. Принаймі AMD FX4100 ідентифікується дуже конкретно. Оперативки від 8 і більше. suricata з'їдає десь коло 2 Гб оперативки. Що значить "стоїть не локально" не розумію. Сурікати стоять там де треба щось захищати.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Andrey1980
      Здравствуйте. Кто имеет практику построения паритета с сетями Киевстар, так что ты трафик в их сети ходил не через мир, и Украину а через внутреннею сеть?  Может быть кто то подскажет контакты админов КС или того кто решает этот вопрос.  
    • Від krim852
      Добрый день, подскажите кто может надать канал на интернет 10 г в городе Львов
    • Від a_n_h
      Всем доброго дня!
        Сменил NAS, все "заработало", кроме подсчета трафика абонов в биллинге, в статистике абонов и отчета по трафику NASa графики отображаются правильно. Подскажите, что не так?
    • Від lary_bary
      Усім доброго дня.
      Є декілька nas. Для користувачів одного з nas-ів не зберігається трафік в базі даних (відповідно в traffstats все по нулях або кілобайти, що не відповідає дійсності).
      Як видно з скріншоту, за мічяць Лютий трафік реальний, наступні місяці тільки по декілька кб.
      В чому може бути проблема?
       
      Файл /etc/stargazer/stargazer.conf
       
      LogFile = /var/log/stargazer/stargazer.log PIDFile = /var/run/stargazer.pid Rules = /etc/stargazer/rules DetailStatWritePeriod = 1/2 StatWritePeriod = 10 DayFee = 1 ReconnectOnTariffChange=yes DayFeeIsLastDay = no DayResetTraff = 1 SpreadFee = no FreeMbAllowInet = no WriteFreeMbTraffCost = yes FullFee = yes FeeChargeType = 1 <DirNames> DirName0 = Internet DirName1 = DirName2 = DirName3 = DirName4 = DirName5 = DirName6 = DirName7 = DirName8 = DirName9 = </DirNames> ExecutersNum = 1 ModulesPath = /usr/lib/stg <StoreModule store_mysql> dbhost = ... dbname = ... dbuser = ... rootdbpass = ... </StoreModule> <Modules> <Module auth_ao> </Module> #<Module auth_ia> # Port = 5555 # UserDelay = 60 # UserTimeout = 65 # FreeMb = cash #</Module> <Module cap_nf> # TCPPort = 42111 UDPPort = 42111 </Module> <Module conf_sg> Port = 5555 </Module> #<Module remote_script> #SendPeriod = 10 #SubnetFile =/etc/stargazer/remote_nas.conf #Password = ... #UserParams=Cash Tariff #Port = 9999 #</Module> </Modules>  
      Файл /etc/stargazer/rules
       
      ALL 0.0.0.0/0  

    • Від nicknamer
      Доброго времени суток!

      Имеется роутер, нат и шейп на Freebsd 11
      hw.machine: amd64
      hw.model: Intel(R) Xeon(R) CPU           X5690  @ 3.47GHz
      hw.ncpu: 24
      Сетевая карта: Intel X520 10g sfp
      Недавно он уперся в полку 4G, дальше трафик не поднимался выше и начал деградировать
      Почитав на эту тему нужно было тюнить конфиг, но все попытки были четны
      Подскажите может кто сталкивался с этим или может что-то посоветовать, буду очень благодарен так как у самого варианты закончились
      Вот мой конфиг на данном этапе:
      sysctl.conf
      net.inet.tcp.blackhole=2
      net.inet.udp.blackhole=1
      net.inet.ip.intr_queue_maxlen=4096
      net.graph.recvspace=8388608
      net.graph.maxdgram=8388608
      net.route.netisr_maxqlen=4096
      kern.ipc.nmbclusters=400000
      kern.ipc.maxsockbuf=83886080
      kern.maxfiles=204800
      kern.maxfilesperproc=200000
      kern.ipc.maxsockets=204800
      net.inet.ip.intr_queue_maxlen=10240
      net.inet.tcp.sendbuf_max=4194304
      net.inet.tcp.recvbuf_max=4194304
      dev.ix.0.rx_processing_limit=4096
      dev.ix.1.rx_processing_limit=4096
      net.inet.ip.dummynet.io_fast=1
       
      loader.conf
      hw.ix.rxd=4096
      hw.ix.txd=4096
      hw.ix.max_interrupt_rate=32000
×
×
  • Створити нове...