В чем разница между fail2ban и snort?

На вашем месте я бы начал с fail2ban.

Оба варианта могут истощать ваши ресурсы, если они не настроены должным образом, но я подозреваю, что предостережения о работе с регексом будут вам более знакомы.

fail2ban легче сделать сразу же полезным (по крайней мере, в моих глазах).

Гораздо проще настроить реальное блокирование вредоносных источников, чем snort, и вы можете настроить fail2ban на сканирование журналов snort, чтобы запретить их.

Также, по всей вероятности, не защитит вас от DDoS как таковых, но оба они могут, в эквиваленте режима блокировки, использоваться для предотвращения несетевого истощения ресурсов, избегая (на самом деле) взаимодействия с реальными серверами приложений.

Одна из проблем snort заключается в том, что несколько нетривиальным является то, что он работает в режиме IPS (т.е. фактически блокирует трафик) - AFAIK, гораздо более распространенным является его запуск в качестве IDS (т.е. только обнаружение вредоносного трафика).

fail2ban - это, как вы говорите, по сути просто скрипт, который регенерирует файлы логов, извлекает вредоносные источники из этих логов (например, неудачный SSH-логин, веб-клиент, запускающий повторные 4xx или 5xx реакции, или имеющий пользователя-агента, связанного с известными профилями злоумышленника). Он интегрируется с iptables (и любыми другими, которые могут быть запущены поверх iptables, например, firewalld, shorewall), чтобы блокировать трафик, связанный с вредоносными хостами. Эти блоки обычно реализуются либо как простые правила iptables, либо как правило iptables + ipset.

snort (и suricata, и другие IDSen) на самом деле проверяют различные аспекты потоков трафика, чтобы обнаружить потенциально вредоносный трафик. Она использует правила в специфическом для домена формате, которые также могут делать сопоставление IP-адресов (и/или имени хоста/домена), а также проверку пакетов, сборку и многое другое. Довольно широко используемый набор правил в EmergingThreat's - вы можете захотеть прочитать (некоторые из них), чтобы почувствовать возможности snort.

Одно из соображений заключается в том, что fail2ban, как правило, будет полезен вне коробки, где это не совсем так для snort - вам, как правило, нужно настроить его правила (и, возможно, добавить некоторые из них), чтобы сбалансировать тома событий с их активностью. Лично для меня, настройка, которая работает, пока я трачу время на snort, выглядит следующим образом:

• настройка fail2ban с ssh и соответствующими веб-сетями
• создает тюрьму, читающую журнал предупреждений IDS (в моем случае, это suricata, но это деталь), в частности, ищет предупреждения Prio 1, а также смотрит на любые хосты, которые помечены как DROP (да, я могу просто загрузить соответствующие ipsets)
• давайте fail2ban сделает все остальное.

Это может работать или не работать на вас, но это означает, что вы получите некоторую дополнительную защиту от snort без необходимости особенно хорошо разбираться в его внутреннем устройстве.

Однако, я бы упомянул, что правила snort могут показаться немного более тревожными, чем это может быть оправдано - иметь некоторое представление о том, на какие угрозы они указывают, и как понять/интерпретировать предупреждения, как правило, стоит усилий.

Как только вам станет удобнее с snort, сначала настройте его, а затем подумайте, хотите ли вы разрешить ему работать с вещами напрямую (например, поместите его в режим IPS).

Вскользь, вы можете подумать о том, как WAF может быть частью картинки, если многие из ваших экспонируемых активов являются веб-приложениями.