System IPS, czyli snort w trybie inline
: 28 listopada 2009, 10:54
Witam
Postanowiłem postawiać sobie IDS/IPS. Snort w trybie IDS dział bez zarzutów. Teraz chcę aby snort mógł również blokować, skoro już wykrył np. skanowanie albo exploit. I tu się zaczyna problem :-| .
Zgodnie z Snort Users Manual 2.8.4 aby snort działał w trybie inline należy go skompilować z opcją --enable-inline - i tak tez zrobiłem.
Następnie należy w zaporze załadować moduł ip_queue. Zgodnie z przykładem wysłać ruch do tego celu np.
lub
Oczywiście uruchamiam snort prawidłowo i w local.rules ma
Gdzie
Domyślne polityki w firewall są na ACCEPT (żeby nie było). Teraz z sieci wewnętrznej wpisuje sobie w google linux i internet w ogóle przestaje działać. Jak usunę regułę
to internet działa a sygnatura z snort loguje, że występuje słowo linux w generowanym ruchu.
Czyli wygląda na to, że ruch skierowany do celu QUEUE z niego nie wychodzi, nie jestem pewien, czy snort go w ogóle przetwarza, ale na pewno nie przepuszcza dalej. Próbowałem sygnatur pass na koniec, ładowałem moduły bridge (mostu nie stawiałem), nf_conntrack_netlink i pewnie wiele innych rzeczy, których już nie pamiętam. Zabierałem się również do kompilacji jądra, ale z tego co wyczytałem, to chyba wszystkie potrzebne moduły są już kompilowane. ebtables nie używałem. W READMY.inline snorta są wskazówki tylko chyba trochę za stare. Opisane są tam opcje, które należy dodać do preprocesora stream4 aby tryb inline dobrze działał tylko, że teraz jest już stream5 i takich opcji w ogóle nie ma! Z tego co czytałem na forum snort to teoretycznie to powinno działać, ale jakoś nie działa i pomyślałem, że może ktoś tu wie dlaczego? Już chyba 3 dzień nad tym siedzę i... :-x
Zaczynam się już zastanawiać nad tym czemu w nowych sygnaturach nie ma ani jednej typu drop, skoro snort już od dawna jest IDS/IPS? przypadek, czy szara rzeczywistość?
[ Dodano: |29 Lis 2009|, 2009 22:08 ]
Ehh zła wiadomość http://seclists.org/snort/2009/q4/50
I w [...] cały mój misterny plan :-(
Postanowiłem postawiać sobie IDS/IPS. Snort w trybie IDS dział bez zarzutów. Teraz chcę aby snort mógł również blokować, skoro już wykrył np. skanowanie albo exploit. I tu się zaczyna problem :-| .
Zgodnie z Snort Users Manual 2.8.4 aby snort działał w trybie inline należy go skompilować z opcją --enable-inline - i tak tez zrobiłem.
Następnie należy w zaporze załadować moduł ip_queue. Zgodnie z przykładem wysłać ruch do tego celu np.
Kod: Zaznacz cały
iptables -A FORWARD -j QUEUEKod: Zaznacz cały
iptables -A FORWARD -p tcp --dport 80 -j QUEUE.Kod: Zaznacz cały
drop tcp $HOME_NET any <> $EXTERNAL_NET 80 (msg:"linux: "; content:"linux"; sid:1000002; rev:5 ;) .Kod: Zaznacz cały
var HOME_NET 192.168.44.0/24
var EXTERNAL_NET !$HOME_NETKod: Zaznacz cały
#iptables -A FORWARD -j QUEUECzyli wygląda na to, że ruch skierowany do celu QUEUE z niego nie wychodzi, nie jestem pewien, czy snort go w ogóle przetwarza, ale na pewno nie przepuszcza dalej. Próbowałem sygnatur pass na koniec, ładowałem moduły bridge (mostu nie stawiałem), nf_conntrack_netlink i pewnie wiele innych rzeczy, których już nie pamiętam. Zabierałem się również do kompilacji jądra, ale z tego co wyczytałem, to chyba wszystkie potrzebne moduły są już kompilowane. ebtables nie używałem. W READMY.inline snorta są wskazówki tylko chyba trochę za stare. Opisane są tam opcje, które należy dodać do preprocesora stream4 aby tryb inline dobrze działał tylko, że teraz jest już stream5 i takich opcji w ogóle nie ma! Z tego co czytałem na forum snort to teoretycznie to powinno działać, ale jakoś nie działa i pomyślałem, że może ktoś tu wie dlaczego? Już chyba 3 dzień nad tym siedzę i... :-x
Zaczynam się już zastanawiać nad tym czemu w nowych sygnaturach nie ma ani jednej typu drop, skoro snort już od dawna jest IDS/IPS? przypadek, czy szara rzeczywistość?
[ Dodano: |29 Lis 2009|, 2009 22:08 ]
Ehh zła wiadomość http://seclists.org/snort/2009/q4/50
I w [...] cały mój misterny plan :-(