Visão Geral
Em alguns casos, o tráfego legítimo pode ser detectado como uma intrusão. Se isso acontecer, você pode definir uma exceção para a intrusão detectada.
Nota: Isso também pode ajudar a melhorar a velocidade de conexão com a Internet, onde é afetada pelo uso excessivo de IPS (sintoma pode ser alto uso de memória pelo processo snort)
A falsa detecção pode aparecer como um item da Blacklist.
A seguinte entrada é gerada nos logs de segurança:
IPS: Packet drop, severity: Blacklist, Rule ID: 1:2522571 ET TOR Known Tor Relay/Router (Not Exit) Node TCP Traffic group 572, proto:UDP, ip/port:192.168.11.120:59073 -> x.x.x.x:123
Solução
Processo automatizado
- Na interface de administração, navegue até Logs > Security.
- Encontre entradas sobre o tráfego filtrado.
- Copie o ID da regra necessário
- Na interface de administração, navegue até Configuração > Prevenção de intrusão.
- Clique no botão Avançado.
- Na caixa de diálogo Configurações avançadas de prevenção contra intrusões, clique em Adicionar.
- Cole o número e a descrição do ID da regra.
- Clique em OK e Aplicar.
Processo Manual
O módulo Kerio Control IPS é baseado na biblioteca de código aberto chamada Snort. É possível modificar as regras do Snort diretamente usando o SSH:
- Faça login via SSH no console Kerio Control.
- Forçar o sistema a ser editável: mount -o rw,remount /
- Abra a pasta /opt/kerio/winroute/snort/rules e modifique o arquivo used.rules de acordo com suas necessidades.
Para obter mais informações sobre as regras do Snort, consulte o site oficial do Snort e o infográfico Anatomy of a Snort rule.