蜜罐的Suricata IPS规则

Question

我有一个非常简单的高交互蜜罐，我刚刚安装了一个VM作为一个IPS (suricata)，在我的路由器和蜜罐之间有一个透明的桥梁。该设置如下所示：

[Router] <----> [ IPS ] <-------> [ Honeypot ]

我的问题是，大多数IPS规则都是为删除/警告已知的恶意通信而设计的。

我的目标是让所有的流量进入，并在默认情况下对传出连接有一个下降策略。

在默认情况下，我希望使用特定的规则，例如SSH响应、HTTP响应、Wget、APT (用于蜜罐更新，以便攻击者能够在蜜罐上实际下载和测试恶意软件)。

总的想法是让所有的攻击进入，并阻止所有可能损害其他服务器的恶意出站通信。一种积极的安全和消极的安全方法。

有谁知道我如何制定一套最适合这种情况的规则，或者更好地为我的IPS推荐一个更好的策略？

Answer 1

或者，您可以简单地将所有流量捕获为pcap，并在离线模式下运行snort规则进行研究/调查。

Answer 2

由于snortify (src -> dst)的方向特性，您将需要两种不同的安装，一种保护传入流，一种连接传出流，如果您想不仅对传入的，而且对传出的连接进行snortify。更好的是，每个方向都有一个NIC。

第二: suricata是一个IDS，可以是一个IPS，也许您应该尝试理解不同之处，以及您需要做什么(或不需要)使您的IDS成为IPS。

为了阻止传出的信息，iptables就足够了，只需阻塞(但日志)除端口22/80/443和irc-端口之外的任何东西。