SNORT + IPTABLES принципиальный вопрос взаимодействия, Михаил, 30-Авг-04, 16:51 [смотреть все]Привет всем!Не могу понять принципиальный момент! Как организовать взаимодействие Snort и IPTables? Суть: iptables - файервол, закрывает все порты кроме 4-х (почта и DNS) т.е. получается, что snort может анализировать только тот трафик, который был пропущен файерволом? Так? Задача: заставить Snort обнаруживать ну, скажем обычное SYN-сканирование на 22-м порту (понятно, что это можно сделать при помощи iptables, но snort дает больше возможностей, согласитесь). Что же имеем: 22 порт закрыт файерволом и, соответственно, snort в данном случае - молчит??? Так?? Или я что-то не понимаю??? Спасибо! |
- SNORT + IPTABLES принципиальный вопрос взаимодействия, bass, 06:08 , 31-Авг-04 (1)
>Привет всем! > >Не могу понять принципиальный момент! Как организовать взаимодействие Snort и IPTables? >Суть: iptables - файервол, закрывает все порты кроме 4-х (почта и DNS) > >т.е. получается, что snort может анализировать только тот трафик, который был пропущен >файерволом? Так? >Задача: заставить Snort обнаруживать ну, скажем обычное SYN-сканирование на 22-м порту (понятно, >что это можно сделать при помощи iptables, но snort дает больше >возможностей, согласитесь). Что же имеем: 22 порт закрыт файерволом и, соответственно, >snort в данном случае - молчит??? Так?? Или я что-то не >понимаю??? > >Спасибо! snort слушает интерфейс == анализ всего что туда попало. файрвол ограничивает поступление информации с интерфейса (которая туда уже попала). internet <-> eth0 <-> snort <-> iptables
- SNORT + IPTABLES + еще что-то..??, Maxim A.Kuznetcov, 13:36 , 02-Сен-04 (2)
>>Привет всем! >> >>Не могу понять принципиальный момент! Как организовать взаимодействие Snort и IPTables? >>Суть: iptables - файервол, закрывает все порты кроме 4-х (почта и DNS) >> >>т.е. получается, что snort может анализировать только тот трафик, который был пропущен >>файерволом? Так? >>Задача: заставить Snort обнаруживать ну, скажем обычное SYN-сканирование на 22-м порту (понятно, >>что это можно сделать при помощи iptables, но snort дает больше >>возможностей, согласитесь). Что же имеем: 22 порт закрыт файерволом и, соответственно, >>snort в данном случае - молчит??? Так?? Или я что-то не >>понимаю??? >> >>Спасибо! > > >snort слушает интерфейс == анализ всего что туда попало. файрвол ограничивает поступление >информации с интерфейса (которая туда уже попала). >internet <-> eth0 <-> snort <-> iptables в догонку - кто-нить подскажет, как перехватывать всё, что пропустил (не счёл сканом/флудом/атакой) snort ? То есть есть программа, которая перхватывает трафик с интерфейса и ведёт весьма детальную статистику, но вот сканы портов/хостов сильно эту статистику увеличивают. Не подскажет ли кто как брать перехваченные пакеты, уже после snort`а..
- SNORT + IPTABLES + еще что-то..??, bass, 16:00 , 02-Сен-04 (3)
> То есть есть программа, которая перхватывает трафик с интерфейса и ведёт > весьма детальную статистику, но вот сканы портов/хостов сильно эту >cтатистику увеличивают.если ваша программа обладает минимум функционала, вы можете просто исключать сканы основываясь на показаниях снорта > Не подскажет ли кто как брать перехваченные пакеты, уже после >snort`а.. судя по вопросам, ваш снорт стандартной конфигурации. тоесть вы непредпринимаете никаких действий, вы только наблюдаете статистику снорта. так вот, стандартная конфигурация не отбивает никакие пакеты, просто даёт инфу для размышления: что мне с этим делать? переиначу снорт: обрисуйте конкретную задачу.
- SNORT + IPTABLES + еще что-то..??, Maxim Kuznetcov, 03:53 , 04-Сен-04 (4)
>> То есть есть программа, которая перхватывает трафик с интерфейса и ведёт >> весьма детальную статистику, но вот сканы портов/хостов сильно эту >cтатистику увеличивают. > >если ваша программа обладает минимум функционала, вы можете просто исключать сканы основываясь >на показаниях снорта > >> Не подскажет ли кто как брать перехваченные пакеты, уже после >>snort`а.. >судя по вопросам, ваш снорт стандартной конфигурации. тоесть вы непредпринимаете никаких действий, >вы только наблюдаете статистику снорта. >так вот, стандартная конфигурация не отбивает никакие пакеты, просто даёт инфу для >размышления: что мне с этим делать? > >переиначу снорт: обрисуйте конкретную задачу. Задача вообще-то идеалогически решена ;-) Подход к решению понял минут через 10-15 после отправки поста..Задача вообщем такая : - есть программа(sniffer) эффективно собирающая статистику, типа кто,куда,откуда,что и когда пересылал. - у программки маааленький такой недостаток - если кто-то сканит сеть по хостам или портам, то статистика чрезвучайно сильно бухнет Насколько я понимаю, в связке со snort+iptables решение будет таким : - snort обнаруживает скан/флуд, по реакции добавляются правила в iptables - в iptables добавляются два ULOG вывода - один на полезный траффик, второй для мусора - sniffer пересаживается с реального интерфеса на netlink, слушает два канала и по разному их обрабатывает Я примерно правильно представляю принцип работы snort и его практическое применение ??
|