Witam
Postanowiłem postawiać sobie IPS/IDS. Snort w trybie IPS dział bez
zarzutów. Teraz chcę aby snort mógł również blokować, skoro już wykrył
np. skanowanie albo exploit. I tu się zaczyna problem :).
Zgodnie z Snort Users Manual 2.8.4 any snort działał w trybie inline
należy go skompilować z opcją --enable-inline - i tak tez zrobiłem.
Następnie należy w zaporze załadować moduł ip_queue. Zgodnie z
przykładem wysłać ruch do tego celu np.
iptables -A FORWARD -j QUEUE
lub
iptables -A FORWARD -p tcp --dport 80 -j QUEUE.
Oczywiście uruchamiam snort prawidłowo i mam w local.rules ma
drop tcp $HOME_NET any <> $EXTERNAL_NET 80 (msg:"linux: ";
content:"linux"; sid:1000002; rev:5;).
Gdzie
var HOME_NET to 192.168.44.0/24
var EXTERNAL_NET !$HOME_NET
Domyślne polityki w fw są na ACCEPT (żeby nie było). Teraz z sieci
wewnętrznej wpisuje sobie w google linux i internet w ogóle przestaje
działać. Jak usunę regułę
#iptables -A FORWARD -j QUEUE
to internet działa a sygnatura z snort loguje, że występuje słowo linux
w generowanym ruchu.
Czyli wygląda na to, że ruch skierowany do celu QUEUE z niego nie
wychodzi, nie jestem pewien, czy snort go w ogóle przetwarza, ale na
pewno nie przepuszcza dalej. Próbowałem sygnatur pass na koniec,
ładowałem moduły bridge (mostu nie stawiałem), nf_conntrack_netlink i
pewnie wiele innych rzeczy, których już nie pamiętam. Zabierałem się
również do kompilacji jądra, ale z tego co wyczytałem, to chyba
wszystkie potrzebne moduły są już kompilowane. ebtables nie używałem. W
READMY.inline snorta są wskazówki tylko chyba trochę za stare. Opisane
są tam opcje, które należy dodać do preprocesora stream4 aby tryb inline
dobrze działał tylko, że teraz jest już stream5 i takich opcji w ogóle
nie ma! Z tego co czytałem na forum snort to teoretycznie to powinno
działać, ale jakoś nie działa i pomyślałem, że ktoś tu wie dlaczego? Już
chyba 3 dzień nad tym siedzę i... :)
Zaczynam się już zastanawiać nad tym czemu w nowych sygnaturach nie ma
ani jednej typu drop, skoro snort już od dawna jest IDS/IPS? przypadek,
czy szara rzeczywistość?
Pozdrawiam
Grzegorz Kuczyński
--
To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
