Whitelist по своей сути обратна Blacklist, в нее записываются машины и целые сети, деятельность которых IDS отслеживать не нужно, обычно в нее помещают домашние и внутрикорпоративные сети.

Во вкладке Threshold настраивается подавление. После того как процессор обнаружения сработал на какое-то правило, но до регистрации события, остается еще один этап — подавление. Подавление удобно в том случае, если полностью правило отключать не нужно, но при обнаружении определенного действия срабатывание не желательно.

Вкладка Alerts отображает все сигналы тревоги, которые Snort смог засечь.

И наконец вкладка Advanced позволяет настроить еще ряд параметров: размер и максимальное значение буфера Berkeley Packet Filter, а также различные форматы вывода, которые поддерживает Snort, для обработки этих данных в специализированных программах.

Тестирование Snort.

Проведем легкий «тест» работоспособности Snort. С помощью сканера портов nmap попробуем просканировать хост на котором запущен pfSense в связке со Snort.



Вот, что осело в логах Snort:





Как видно из скринов, а именно на вкладке Blocked, сканирующий хост заблокирован на 6 часов, по причинам во вкладке Alerts.
На этом беглый обзор установки и настройки системы обнаружения и предотвращения вторжений Snort в pfSense можно считать завершенным. Напоследок хочу порекомендовать к прочтению единственную книгу на русском языке о Snort - «Snort 2.1. Обнаружение вторжений (+ CD)». Описываемая версия Snort в этой книге устарела, но основы, принцип работы и описание модулей описаны «четко». Заказать книгу в магазине books.ru можно по ссылке ниже:
Рекомендовано к прочтению.

Автор: Э_L_A_Y