Như tựa đề, mình muốn hỏi về sự khác nhau trong cách thức hoạt động của snort và snort_line. Xét theo phương diện cách thức hoạt động? Các layer mà snort và snort_inline có thể tác động ảnh hưởng của nó lên server?

Theo như mình tìm hiểu được thì snort_inline hoạt động dựa trên hàng đợi (QUEUE), các packet đi vào sẽ gặp tường lửa (iptables) xét duyệt, nếu gói tin đó được iptables đưa vài QUEUE thì snort_inline sẽ xử lý gói tin này (drop / Accept).
Còn snort thì theo mình hiểu thì các packet đi qua iptables sẽ gặp nó, nó cũng xử lý gói tin dựa vào signature.

Những hiểu biết của mình còn chỗ nào chưa đúng, mong mọi người giúp đỡ để mình hoàn thiện chỗ còn thiếu. Cái này rất quan trọng, nếu hiểu sai hoặc không đúng thì sẽ gặp RẤT NHIỀU KHÓ KHĂN VÀ SAI LẦM trong quá trình sử dụng và bảo mật.

Cảm ơn đã đọc bài 

- snort-inline là một cách tích hợp snort alerts với iptables để xử lý tình huống khi tình huống xảy ra.
Ví dụ, snort đang theo dõi tình hình network và thấy có một chuỗi "code red" xuất hiện trên network, với "inline" nó báo cho iptables block luồng "code red" này.

- snort là một một IDS tách biệt và dùng để theo dõi những biến cố xảy ra trên tcp/ip stack (do mình ấn định). Bản thân snort có một số biện pháp xử lý đơn giản và snort hoàn toàn không có liên quan gì đến iptables hết.
Ví dụ, snort đang theo dõi tình hình network và thấy có một chuỗi "code red" xuất hiện trên network, nếu không "inline" với iptables, snort chỉ đơn giản cảnh báo vào một hệ thống cảnh báo nào đó hoặc có một số phản ứng nhất định (do mình ấn định cho nó). Trong hoàn cảnh "không inline" này, iptables hoàn toàn không có liên quan gì hết vì nó chẳng được ai cảnh báo để làm gì hết. 

Cho em hỏi thêm.
- Với trường hợp snort_inline, "chuỗi code red" này có phải là các alert mà snort_inline cảnh báo không? Và iptables gặp alert do snort_inline chuyển đến sẽ DROP (block) hay REJECT ? Quá trình này tự động hoá hay là cần phải do mình cấu hình?
 

- Còn trường hợp snort, như em đọc trong loạt ký sự DDoS HVA, thì em thấy snort có một số phản ứng như gửi cờ RST đến nguồn gửi, đích nhận gói tin để kết thúc phiên giao dịch, như vậy có thể nói snort trong trường hợp này, snort có chức năng gần giống như 1 IPS? Đặt trường hợp "đánh gió" như trong bài ký sự DDoS HVA (cờ RST chưa kịp đến nơi thì gói tin đó đã chạy lên layer cao hơn mất rồi), mình có cách nào khắc phục hoặc hạn chế không?
 

- Với kinh nghiệm của anh, snort và snort_inline nên dùng trong trường hợp nào để phát huy cao nhất sức mạnh của nó?
 

Cảm ơn anh đã giải đáp, rất dễ hiểu.

p/s: Em vẫn đang thắc mắc trong loạt bài ký sự DDoS HVA, sao anh dùng snort mà không dùng snort_inline? theo suy đoán của em, nếu dùng snort_inline, các gói tin vi phạm các signature của snort sẽ phải đưa cho iptables xử lý, như vậy tốn thêm 1 ít thời gian, sẽ rơi vào trường hợp "đánh gió" nhiều hơn?  

Theo em thấy thì giải pháp phần mềm IDS không tốt bằng giải pháp phần cứng, ai cũng nói phần cứng tốt hơn nhưng hơi mắc tiền, sinh viên tụi em thì chỉ biết dùng giải pháp phần mềm để demo học tập thôi! Anh thấy sao, Snort_inline + iptables có được dùng phổ biến không? 

Với snort hoặc bất cứ ứng dụng IDS nói chung nào cũng cần phải có một bộ luật, còn gọi là các "signature". Các "signature" này cho snort biết rằng trong các gói tin đi vào (và đi ra) mà snort có thể thấy được, nó nên xét và cảnh báo những gì trùng với "signature". Nếu không có "signatures", snort chẳng biết phải cảnh báo cái gì hết. Bởi thế, "code red" là một ví dụ và signature cụ thể để snort biết "code red" là gì là điều cần thiết. 

Theo em thấy thì giải pháp phần mềm IDS không tốt bằng giải pháp phần cứng, ai cũng nói phần cứng tốt hơn nhưng hơi mắc tiền, sinh viên tụi em thì chỉ biết dùng giải pháp phần mềm để demo học tập thôi! Anh thấy sao, Snort_inline + iptables có được dùng phổ biến không? 

Snort dựa vào các "signature" để "nhận biết" các cuộc tấn công nhưng theo em suy nghĩ thế này, giả sử em là thằng attacker cũng biết được các rules này và từ đó nó bắt đầu tìm cách "qua mặt" các "rào cản" này chẳng khác nào dùng snort như con dao có 2 lưỡi (em chỉ ví dụ)

Vậy có cách nào "phản ứng" với thằng attacker trên đang dự tính "qua mặt" hay là phải bắt đầu hình thành nên 1 bộ luật snort cho riêng mình mà không "đụng hàng" với bất cứ bộ luật mặc định của snort vậy anh  

Theo em thấy thì giải pháp phần mềm IDS không tốt bằng giải pháp phần cứng, ai cũng nói phần cứng tốt hơn nhưng hơi mắc tiền, sinh viên tụi em thì chỉ biết dùng giải pháp phần mềm để demo học tập thôi! Anh thấy sao, Snort_inline + iptables có được dùng phổ biến không? 

. Ví dụ: ai đó brute force đến cổng SSH, snort-inline gởi cảnh báo đến iptables. Iptables có thể DROP các packets ấy. Sau 5 lần tái phạm (trong vòng 1 phút chẳng hạn) thì iptables cho nó vô "blacklist" và block IP đó luôn, khỏi phải drop từng packet vi phạm nữa.
 

conmale wrote:

. Ví dụ: ai đó brute force đến cổng SSH, snort-inline gởi cảnh báo đến iptables. Iptables có thể DROP các packets ấy. Sau 5 lần tái phạm (trong vòng 1 phút chẳng hạn) thì iptables cho nó vô "blacklist" và block IP đó luôn, khỏi phải drop từng packet vi phạm nữa.
 

Chào anh!
Trong ví dụ trên em thắc mắc là snort-inline có thể gởi cảnh báo đến iptables bằng cách nào? trong khi iptables đẩy các packets vào trong QUEUE để snort-inline xử lý, sau khi snort-inline xử lý packet xong liệu iptables có thể xử lý lại packet đó lần nữa không?
 

trong ví dụ trên thay vì cho các ip vi phạm vào "blacklist" mình có thể chuyển các packets của ip vi phạm vào "backhole" (/dev/null chẳng hạn) được không?

- Ky0 - 

Nhân tiện đang bàn luận tới vấn đề này em muốn hỏi thêm mọi người khi triển khai snort_inline.



Mình được biết có 3 cách để triễn khai snort như IPS
-Trước firewall
-Trên firewall+ iptables
-Sau firewall

Trường hợp 1-3 thì cũng tương tự nhau.
Trường hợp 2 thì có lẽ sẽ tiêu tốn khá nhiều tài nguyên cho server.

Còn trường hợp 1-3 thì mình đang rất bối rồi

Internet ----->Snort(server)----->iptables firewall(server)---->Lan
Lúc này Server triển khai Snort sẽ có 2 card mạng(Inter nối vào firewall và Exter từ internet vào)
+ Lúc này phải cấu hình như thế nào để tất các gói tin đi qua đều tới firewall phía sau(Có phải dùng NAT) ?
+ Nếu triễn khai như thế này thì việc cập nhật Rule cho firewall phía sau sẽ như thế nào ?Hay là triển khai thêm iptables ngay trên Snort Server?

Mong mọi người giúp đở. 

- snort-inline là một cách tích hợp snort alerts với iptables để xử lý tình huống khi tình huống xảy ra.
Ví dụ, snort đang theo dõi tình hình network và thấy có một chuỗi "code red" xuất hiện trên network, với "inline" nó báo cho iptables block luồng "code red" này.

- snort là một một IDS tách biệt và dùng để theo dõi những biến cố xảy ra trên tcp/ip stack (do mình ấn định). Bản thân snort có một số biện pháp xử lý đơn giản và snort hoàn toàn không có liên quan gì đến iptables hết. 

Theo em thấy thì giải pháp phần mềm IDS không tốt bằng giải pháp phần cứng, ai cũng nói phần cứng tốt hơn nhưng hơi mắc tiền, sinh viên tụi em thì chỉ biết dùng giải pháp phần mềm để demo học tập thôi! Anh thấy sao, Snort_inline + iptables có được dùng phổ biến không?