Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2009-11-28 17:10:56
grzesiek - 
Użytkownik
Snort w trybie inline (w trybie IPS)
Witam
Postanowiłem postawiać sobie IDS/IPS. Snort w trybie IDS dział bez zarzutów. Teraz chcę aby snort mógł również blokować, skoro już wykrył np. skanowanie albo exploit. I tu się zaczyna problem :).
Zgodnie z Snort Users Manual 2.8.4 aby snort działał w trybie inline należy go skompilować z opcją --enable-inline - i tak tez zrobiłem.
Następnie należy w zaporze załadować moduł ip_queue. Zgodnie z przykładem wysłać ruch do tego celu np.
Kod:
Kod:
iptables -A FORWARD -j QUEUE
lub
Kod:
Kod:
iptables -A FORWARD -p tcp --dport 80 -j QUEUE.
Oczywiście uruchamiam snort prawidłowo i w local.rules ma
Kod:
Kod:
drop tcp $HOME_NET any <> $EXTERNAL_NET 80 (msg:"linux: "; content:"linux"; sid:1000002; rev:5;)
Gdzie
Kod:
Kod:
var HOME_NET 192.168.44.0/24 var EXTERNAL_NET !$HOME_NET
Domyślne polityki w firewall są na ACCEPT (żeby nie było). Teraz z sieci wewnętrznej wpisuje sobie w google linux i internet w ogóle przestaje działać. Jak usunę regułę
Kod:
Kod:
#iptables -A FORWARD -j QUEUE
to internet działa a sygnatura z snort loguje, że występuje słowo linux w generowanym ruchu.
Czyli wygląda na to, że ruch skierowany do celu QUEUE z niego nie wychodzi, nie jestem pewien, czy snort go w ogóle przetwarza, ale na pewno nie przepuszcza dalej. Próbowałem sygnatur pass na koniec, ładowałem moduły bridge (mostu nie stawiałem), nf_conntrack_netlink i pewnie wiele innych rzeczy, których już nie pamiętam. Zabierałem się również do kompilacji jądra, ale z tego co wyczytałem, to chyba wszystkie potrzebne moduły są już kompilowane. ebtables nie używałem. W READMY.inline snorta są wskazówki tylko chyba trochę za stare. Opisane są tam opcje, które należy dodać do preprocesora stream4 aby tryb inline dobrze działał tylko, że teraz jest już stream5 i takich opcji w ogóle nie ma! Z tego co czytałem na forum snort to teoretycznie to powinno działać, ale jakoś nie działa i pomyślałem, że może ktoś tu wie dlaczego? Już chyba 3 dzień nad tym siedzę i... :/
Zaczynam się już zastanawiać nad tym czemu w nowych sygnaturach nie ma ani jednej typu drop, skoro snort już od dawna jest IDS/IPS? przypadek, czy szara rzeczywistość?
Offline
#2 2010-03-20 21:18:12
grzesiek - Użytkownik
Re: Snort w trybie inline (w trybie IPS)
Nikt nie próbował konfigurować Snorta w trybie inline? :(
A może tego http://nfws.inl.fr/nfws_userday/Pierre-Chifflier_NFQUEUE-Bindings.pdf już ktoś próbował ?
Offline