Retendo a origem ao usar o Snort com um balanceador de carga? Ou porque é uma má ideia?

Navegue suas respostas
3

Inicialmente eu implantei o HAProxy para que fosse possível notar tráfego ruim indo para o meu servidor da Web (em vez de ser obscurecido pelo TLS), mas agora notei o problema bastante óbvio de que, depois de passar pelo balanceador de carga, não está mais associado ao IP de origem.

Alguma idéia se é possível fazer com que o Snort rastreie pacotes problemáticos 'através do HAProxy? FYI, estou atualmente estou executando Snort e HAProxy no mesmo servidor. Minha configuração completa geralmente inclui um script como o fail2ban, daí o desejo de identificar esses hosts remotos.

    
por Thoughtitious 29.04.2015 / 16:39

1 resposta

2

Eu não sei sobre o Snort, mas sei um pouco sobre balanceadores de carga. Então, aqui estão algumas coisas que podem ser úteis.

  • Mova o sensor Snort para estar antes de HAProxy.
  • Deixe o sensor onde está, mas transforme o HAProxy em um proxy transparente. Isso requer a diretiva "usesrc clientip".
  • Deixe o sensor onde está, mas deixe o HAProxy inserir o cabeçalho "x-forwarded-for" (se você estiver usando HTTP) e então deixe o Snort ler esse cabeçalho usando a diretiva "enable_xff"

EDIT: Removidas sugestões incompatíveis com a decodificação de TLS. A sugestão restante deve funcionar para HTTP (somente HTTP). E só é útil se você tem algo que pode decodificar os dados unified2 (barnyard2, u2pewfoo), já que Snort gravará o "True-Client-IP", não há nenhuma opção para que seja registrado como a origem. Veja o URL abaixo para mais informações.

link

    
por 29.04.2015 / 23:04

Tags

Como adiciono uma pasta de rede a uma biblioteca do Windows 8? [duplicado] Posso instalar um pacote de idiomas adicional no Microsoft Surface