Разбираем настройку системы обнаружения вторжений Suricata на работу в режиме IPS (предотвращение вторжений). Рассматривается вариант с использованием механизма NFQ в Linux.
Устанавливаем средствами правки UNIT-файла systemd параметры запуска сервиса suricata для работы в режиме прослушивания очереди NFQ. настраиваем средствами iptables передачу проходящих через шлюз сетевых пакетов в userspace в очередь NFQ, в которой эти пакеты будет принимать suricata. Переконфигурируем правила suricata для выполнения действия drop вместо действия alert по-умолчанию. Проверяем работоспособность созданной IPS-системы.
6 окт 2024
