System IPS, czyli snort w trybie inline

To: debian-user-polish@lists.debian.org
Subject: System IPS, czyli snort w trybie inline
From: Grzegorz Kuczyński <gk180984@gmail.com>
Date: Sat, 28 Nov 2009 10:39:57 +0100
Message-id: <[🔎] 4B10EFED.4010002@gmail.com>
Reply-to: gk180984@gmail.com

Witam

Postanowiłem postawiać sobie IPS/IDS. Snort w trybie IPS dział bezzarzutów. Teraz chcę aby snort mógł również blokować, skoro już wykryłnp. skanowanie albo exploit. I tu się zaczyna problem :).Zgodnie z Snort Users Manual 2.8.4 any snort działał w trybie inlinenależy go skompilować z opcją --enable-inline - i tak tez zrobiłem.Następnie należy w zaporze załadować moduł ip_queue. Zgodnie zprzykładem wysłać ruch do tego celu np.

iptables -A FORWARD -j QUEUE
lub
iptables -A FORWARD -p tcp --dport 80 -j QUEUE.

Oczywiście uruchamiam snort prawidłowo i mam w local.rules ma

drop tcp $HOME_NET any <> $EXTERNAL_NET 80 (msg:"linux: ";content:"linux"; sid:1000002; rev:5;).

Gdzie
var HOME_NET to 192.168.44.0/24
var EXTERNAL_NET !$HOME_NET

Domyślne polityki w fw są na ACCEPT (żeby nie było). Teraz z sieciwewnętrznej wpisuje sobie w google linux i internet w ogóle przestajedziałać. Jak usunę regułę

#iptables -A FORWARD -j QUEUE

to internet działa a sygnatura z snort loguje, że występuje słowo linuxw generowanym ruchu.

Czyli wygląda na to, że ruch skierowany do celu QUEUE z niego niewychodzi, nie jestem pewien, czy snort go w ogóle przetwarza, ale napewno nie przepuszcza dalej. Próbowałem sygnatur pass na koniec,ładowałem moduły bridge (mostu nie stawiałem), nf_conntrack_netlink ipewnie wiele innych rzeczy, których już nie pamiętam. Zabierałem sięrównież do kompilacji jądra, ale z tego co wyczytałem, to chybawszystkie potrzebne moduły są już kompilowane. ebtables nie używałem. WREADMY.inline snorta są wskazówki tylko chyba trochę za stare. Opisanesą tam opcje, które należy dodać do preprocesora stream4 aby tryb inlinedobrze działał tylko, że teraz jest już stream5 i takich opcji w ogólenie ma! Z tego co czytałem na forum snort to teoretycznie to powinnodziałać, ale jakoś nie działa i pomyślałem, że ktoś tu wie dlaczego? Jużchyba 3 dzień nad tym siedzę i... :)Zaczynam się już zastanawiać nad tym czemu w nowych sygnaturach nie maani jednej typu drop, skoro snort już od dawna jest IDS/IPS? przypadek,czy szara rzeczywistość?


Pozdrawiam
Grzegorz Kuczyński

Reply to:

Prev by Date: Re: usb-storage problem
Next by Date: Po 32 spotkaniu TLUG-u.
Previous by thread: Re: usb-storage problem
Next by thread: Po 32 spotkaniu TLUG-u.
Index(es):
- Date
- Thread