Firewall Baseada em Snort

Navegue suas respostas
3

Eu não trabalhei muito com o SNORT ou fiz muita pesquisa sobre isso, mas parece possível.

Se eu configurar um servidor e executar snort nele. Seria então possível encaminhar todo o meu tráfego através dele como um firewall para os meus sites? Isso me permitiria ter um ponto central para filtrar todo o tráfego ruim?

Quanto ao encaminhamento, devo usar o tunelamento GRE ou existe uma maneira melhor? Eu gostaria de tentar e manter o IP do cliente, se possível.

Para poder executar talvez o HA Proxy / nGinx como uma maneira de encaminhar o tráfego do site e manter o IP do cliente no pacote e não acabar com todos os clientes como o IP do servidor proxy.

    
por Tiffany Walker 20.03.2013 / 17:01

3 respostas

5

Um método de instalação para o Snort é chamado de modo in-line. Nesta configuração, o seu sensor snort será um ponto de estrangulamento para o seu tráfego, muito semelhante a um roteador ou firewall tradicional. Todos os pacotes serão recebidos na interface externa, passados pelo aplicativo snort e depois encaminhados para a interface interna. Se feito corretamente, será transparente para o tráfego e será nada mais do que uma ponte. Também não requer modificações nos servidores que você está tentando proteger. Todo o tráfego fluirá pelo sensor porque não pode ir a nenhum outro lugar.

A partir daqui, você pode decidir se deseja executar o snort no modo IDS ou IDP. O IDS é menos assustador de implementar, pois alertas serão disparados e tráfego ruim será registrado, mas os pacotes ainda serão passados. O modo IDP analisará os pacotes e, se configurado, descartará o pacote se ele disparar um alerta.

Em qualquer caso, você deve ter cuidado com as regras que você configura e com o tamanho adequado do seu sensor. Se, por exemplo, se o processo do snortd estiver sobrecarregado e não puder processar um pacote, ele não conseguirá sair do outro lado. É bastante trivial para o snort atingir 100% de uso de CPU ou memória.

    
por 20.03.2013 / 17:56
4

Para a primeira pergunta - sim, isso seria possível. Você teria o DNS dos servidores da Web definido para o servidor que está executando o SNORT e faria esse servidor encaminhar o tráfego para o servidor da Web real. Essa é uma das formas padrão de configurar um servidor de firewall / filtragem.

Para o segundo - essa é uma pergunta que convida a uma longa discussão, algo realmente não se encaixa no site ServerFault. "Melhor" é um termo muito subjetivo e mal definido. Eu deveria começar considerando as prioridades que você tem, em termos de segurança, estabilidade, facilidade de atualização / atualização de pacotes, desempenho, etc. Uma vez feito isso, você pode começar a comparar como os dois unixes diferentes se comparam, e se você tem algumas perguntas específicas, há mais chances de você ter uma boa resposta.

    
por 20.03.2013 / 17:15
2

Seria então possível rotear TODO o meu tráfego através dele como um firewall para os meus sites?

Não só é possível, mas é exatamente como você deve configurar um IPS se quiser que ele realmente elimine tráfego ruim.

Caso contrário, ele se tornará um IDS e somente sinalizará tráfego ruim.

A única parte da sua pergunta com a qual eu não concordo é quando você compara o Snort com um firewall.

Tenho a impressão de que você está misturando três aspectos da segurança da rede.

IPS / IDS

elimina o tráfego com base em inspeções e assinaturas profundas de pacotes

Firewall

Descarta / permite o tráfego com base na origem, no destino e na porta. O firewall evoluiu e não é mais tão "burro", mas esse é o objetivo principal de ter um firewall.

Firewall de aplicativos da Web (WAF)

Um pouco como um IPS, mas destinado a inspecionar o tráfego HTTP e HTTPS. O WAF pode, assim como um IPS, descartar uma tentativa de injeção de SQL se tiver as assinaturas adequadas.

Isso permitiria que eu tivesse um ponto central para filtrar todo o tráfego ruim?

A parte principal da sua declaração é todo tráfego ruim . Para isso, eu responderia não.

A única maneira de bloquear todo o tráfego ruim é bloquear todo o tráfego.

A aplicação web mais segura que eu tinha visto em campo em todos os três (IPS, Firewall e WAF) protegendo o front end. Em seguida, o aplicativo e os dados segregaram com o firewall entre as três camadas. Ele também tinha outro IPS apenas para inspeção SQL Injection entre o aplicativo e os dados.

Adivinhe ... o que provavelmente ainda não conseguiu eliminar todo o tráfego ruim.

Finalmente, sobre a plataforma a ser usada.

Eu gosto muito do openBSD . O PF é um firewall muito poderoso e gratuito.

Mas sua escolha deve ser baseada no que você está confortável gerenciando e configurando. Se você está acostumado com o Ubuntu ou o CentOS, então vá com isso. Não faz sentido tentar proteger seu aplicativo com uma ferramenta que você não está dominando.

Porque, se o fizer, é provável que diminua o nível de segurança da sua rede em vez de aumentá-lo.

    
por 20.03.2013 / 18:28

Tags

Como posso obter 'diff' para mostrar apenas as linhas adicionadas e excluídas? Se diff não pode fazer isso, qual ferramenta pode? Take-2 Por que meu volume físico lvm possui espaço significativamente menor que a partição que ele contém?