 SNORT + IPTABLES принципиальный вопрос взаимодействия,  Михаил, 30-Авг-04, 16:51 [смотреть все]Привет всем!Не могу понять принципиальный момент! Как организовать взаимодействие Snort и IPTables?
Суть: iptables - файервол, закрывает все порты кроме 4-х (почта и DNS)
т.е. получается, что snort может анализировать только тот трафик, который был пропущен файерволом? Так?
Задача: заставить Snort обнаруживать ну, скажем обычное SYN-сканирование на 22-м порту (понятно, что это можно сделать при помощи iptables, но snort дает больше возможностей, согласитесь). Что же имеем: 22 порт закрыт файерволом и, соответственно, snort в данном случае - молчит??? Так?? Или я что-то не понимаю??? Спасибо! |
- SNORT + IPTABLES принципиальный вопрос взаимодействия, bass, 06:08 , 31-Авг-04 (1)
>Привет всем!
>
>Не могу понять принципиальный момент! Как организовать взаимодействие Snort и IPTables?
>Суть: iptables - файервол, закрывает все порты кроме 4-х (почта и DNS)
>
>т.е. получается, что snort может анализировать только тот трафик, который был пропущен
>файерволом? Так?
>Задача: заставить Snort обнаруживать ну, скажем обычное SYN-сканирование на 22-м порту (понятно,
>что это можно сделать при помощи iptables, но snort дает больше
>возможностей, согласитесь). Что же имеем: 22 порт закрыт файерволом и, соответственно,
>snort в данном случае - молчит??? Так?? Или я что-то не
>понимаю???
>
>Спасибо!
snort слушает интерфейс == анализ всего что туда попало. файрвол ограничивает поступление информации с интерфейса (которая туда уже попала).
internet <-> eth0 <-> snort <-> iptables
- SNORT + IPTABLES + еще что-то..??, Maxim A.Kuznetcov, 13:36 , 02-Сен-04 (2)
>>Привет всем!
>>
>>Не могу понять принципиальный момент! Как организовать взаимодействие Snort и IPTables?
>>Суть: iptables - файервол, закрывает все порты кроме 4-х (почта и DNS)
>>
>>т.е. получается, что snort может анализировать только тот трафик, который был пропущен
>>файерволом? Так?
>>Задача: заставить Snort обнаруживать ну, скажем обычное SYN-сканирование на 22-м порту (понятно,
>>что это можно сделать при помощи iptables, но snort дает больше
>>возможностей, согласитесь). Что же имеем: 22 порт закрыт файерволом и, соответственно,
>>snort в данном случае - молчит??? Так?? Или я что-то не
>>понимаю???
>>
>>Спасибо!
>
>
>snort слушает интерфейс == анализ всего что туда попало. файрвол ограничивает поступление
>информации с интерфейса (которая туда уже попала).
>internet <-> eth0 <-> snort <-> iptables
в догонку - кто-нить подскажет, как перехватывать всё, что пропустил (не счёл сканом/флудом/атакой) snort ?
То есть есть программа, которая перхватывает трафик с интерфейса и ведёт весьма детальную статистику, но вот сканы портов/хостов сильно эту статистику увеличивают.
Не подскажет ли кто как брать перехваченные пакеты, уже после snort`а..
- SNORT + IPTABLES + еще что-то..??, bass, 16:00 , 02-Сен-04 (3)
> То есть есть программа, которая перхватывает трафик с интерфейса и ведёт
> весьма детальную статистику, но вот сканы портов/хостов сильно эту >cтатистику увеличивают.если ваша программа обладает минимум функционала, вы можете просто исключать сканы основываясь на показаниях снорта > Не подскажет ли кто как брать перехваченные пакеты, уже после
>snort`а..
судя по вопросам, ваш снорт стандартной конфигурации. тоесть вы непредпринимаете никаких действий, вы только наблюдаете статистику снорта.
так вот, стандартная конфигурация не отбивает никакие пакеты, просто даёт инфу для размышления: что мне с этим делать? переиначу снорт: обрисуйте конкретную задачу.
- SNORT + IPTABLES + еще что-то..??, Maxim Kuznetcov, 03:53 , 04-Сен-04 (4)
>> То есть есть программа, которая перхватывает трафик с интерфейса и ведёт
>> весьма детальную статистику, но вот сканы портов/хостов сильно эту >cтатистику увеличивают.
>
>если ваша программа обладает минимум функционала, вы можете просто исключать сканы основываясь
>на показаниях снорта
>
>> Не подскажет ли кто как брать перехваченные пакеты, уже после
>>snort`а..
>судя по вопросам, ваш снорт стандартной конфигурации. тоесть вы непредпринимаете никаких действий,
>вы только наблюдаете статистику снорта.
>так вот, стандартная конфигурация не отбивает никакие пакеты, просто даёт инфу для
>размышления: что мне с этим делать?
>
>переиначу снорт: обрисуйте конкретную задачу.
Задача вообще-то идеалогически решена ;-)
Подход к решению понял минут через 10-15 после отправки поста..Задача вообщем такая :
- есть программа(sniffer) эффективно собирающая статистику, типа кто,куда,откуда,что и когда пересылал.
- у программки маааленький такой недостаток - если кто-то сканит сеть по хостам или портам, то статистика чрезвучайно сильно бухнет Насколько я понимаю, в связке со snort+iptables решение будет таким :
- snort обнаруживает скан/флуд, по реакции добавляются правила в iptables
- в iptables добавляются два ULOG вывода - один на полезный траффик, второй для мусора
- sniffer пересаживается с реального интерфеса на netlink, слушает два канала и по разному их обрабатывает
Я примерно правильно представляю принцип работы snort и его практическое применение ??
|
Версия для распечатки
