Como descartar pacotes em um sistema de detecção de intrusão personalizado

1

Estou tentando criar um sistema personalizado de detecção e prevenção de intrusões (IDS / IPS). Eu encontrei um ótimo utilitário chamado ROPE que pode examinar a carga útil do pacote e descartar o pacote que não segue as regras, definido por um roteiro. Isso serve ao meu propósito completamente, já que o que eu quero fazer é verificar o payload de algum texto específico e depois soltá-lo ou permitir (o recurso de string no iptables não me faria bem, porque eu quero verificar mais de uma string no payload, como usernames, id's, etc). No entanto, o ROPE é muito antigo e, apesar das minhas muitas tentativas, não consegui instalá-lo corretamente.

Você conhece algum programa semelhante que me ajude a descartar pacotes no iptables, dependendo da carga útil?

Qualquer sugestão é muito apreciada:)

    
por tzoukos 14.03.2011 / 17:56

3 respostas

3

Eu testei no meu laboratório doméstico antes com o snort e o fwsnort gerando as regras do iptables. Você já olhou para isso?

    
por 14.03.2011 / 18:03
5

Atenção: longo e filosófico posto à frente. TLDR: dê uma outra olhada em as soluções existentes que estão disponíveis.

Eu entendo o apelo da implementação de uma solução personalizada, e não pretendo ser bom em dizer isso, mas: se você está implantando em um ambiente de produção, desenvolvendo qualquer infraestrutura de complexidade significativa para a qual análogos razoáveis já existe é uma Idéia Ruim ™, mais especialmente no campo da segurança.

Fazer um ótimo trabalho projetando um sistema de detecção de intrusão (ou sistema de gerenciamento de configuração, ou sistema de distribuição de pacotes, ou linguagem de script de alto nível) requer um enorme investimento em conhecimento específico de domínio. Se você tem esse conhecimento, você provavelmente já está envolvido com um de os muitos projetos lá fora que preenchem o nicho particular que você está interessado; Se não o fizer, gastará muito do seu tempo de empregador e do seu próprio esforço para desenvolver a versão 1 de sua própria solução, que não pode deixar de ser medíocre em comparação com soluções maduras apoiadas pela comunidade que foram refinado ao longo dos anos por especialistas motivados.

É natural que os administradores de sistemas analisem um problema e imediatamente comecem a projetar uma solução para isso em nossa cabeça: somos tipicamente criativos, talentosos e motivados profissionalmente, e adoramos corrigir problemas, especialmente os grandes meta-problemas. que tendem a inspirar esse tipo de ambição. A equação de custo-benefício apenas tende a não funcionar em favor de resolver esses problemas do zero, especialmente quando você provavelmente pode obter um retorno melhor para seu investimento, contribuindo para um projeto existente bem gerenciado.

Desculpe ter passado tanto tempo; Espero ter contribuído com algo útil para sua consideração sobre o assunto.

    
por 14.03.2011 / 19:32
2

@Tzoukos - da sua pergunta você não está realmente descrevendo um IDS ou IPS, mas um firewall de inspeção profunda.

O Snort pode fazer absolutamente tudo o que você descreveu, e como mencionado, há muitas assinaturas disponíveis gratuitamente ... mas se você estiver procurando por outras opções, não limite sua pesquisa a apenas soluções IDS / IPS. Há muitas soluções em todos os pontos de preços, desde gratuitas até incrivelmente caras: -)

    
por 14.03.2011 / 23:44