Latest posts for the topic "Đặt SnortSam ở chế độ inline hay passive"

Đặt SnortSam ở chế độ inline hay passive

quangteospk — GMT

Em có theo dõi chủ đề: Sự khác nhau giữa snort và snort_inline /hvaonline/posts/list/34001.html Hiện tại sau khi đọc kỹ vài lần em thấy mình có một điểm thắc mắc giống với anh hoakhanh281 trong chủ đề đó nhưng chưa được giải đáp. 1. Theo như post đầu tiên của anh conmale:

snort đang theo dõi tình hình network và thấy có một chuỗi "code red" xuất hiện trên network, với "inline" nó báo cho iptables block luồng "code red" này.

Thì snort (snort_inline) ở đây phải ở chế độ inline thì mới gửi alert cho iptables block luồng "code_red" được. Nếu vậy thì nếu để snort ở chế độ passive thì có phải là snort_inline + iptables không thể trở thành IPS và block các luồng đó? 2. Giả sử em có mô hình như sau. -----------<1.1.1.1><192.168.x.x>-------<192.168.x.x><10.0.0.x>--------<10.0.0.x> Lúc này và sẽ đóng vai trò như một IPS. Nếu snortsam match một gói với luật, gửi alert tới iptables và iptables sẽ DROP luồng đó. Vấn đề là iptables em cấu hình NAT Inbound, để mỗi khi bên ngoài truy cập vào địa chỉ mặt ngoài của iptables <1.1.1.1> port 80 thì forward vô webserver. Điểm thắc mắc của em là nếu để snortsam ở chế độ inline như vậy thi làm sao iptables có thể forward vô được webserver phía trong. Nếu để snortsam ở chế độ passive như ở ý [1] thì nó lại không đảm nhiệm được chức năng IPS. Nhờ mọi người tư vấn dùm :-)

Đặt SnortSam ở chế độ inline hay passive

vd_ — GMT

drop source chứ đâu có drop 1.1.1.1 đâu mà bạn lo bạn đã dựng vm và test thử lý thuyết của bạn chưa?

Đặt SnortSam ở chế độ inline hay passive

quangteospk — GMT

vd_ wrote:

drop source chứ đâu có drop 1.1.1.1 đâu mà bạn lo bạn đã dựng vm và test thử lý thuyết của bạn chưa?

Dạ, cám ơn anh chủ đề nào cũng vô giúp đỡ em :) Vấn đề là nếu để inline thì em chưa hình dùng được iptables sẽ phải NAT như thế nào để qua snort, rồi tới được web server phía trong. Như cái chủ đề em để trên thì anh hoakhanh cũng có nói là "liệu có phải NAT 2 lần" hay không đó ạ.

Đặt SnortSam ở chế độ inline hay passive

Ky0 — GMT

Ngày xưa mình cũng nhập nhằng giống như bạn, nếu đọc chủ đề kia mà vẫn chưa nắm rõ được snort vs snort-inline thì coi bộ hơi căng :P Bạn cần phải nắm rõ: - Snort là gì? hoạt động ở tầng nào? Nó có thể làm những gì? - IPTables là gì? hoạt động ở tầng nào? và khả năng của nó? Vấn đề NAT bao nhiêu lần không quan trọng vì IPtables đảm nhận (NAT cả chục lần cũng chả sao). Snort chỉ đơn giản phát hiện thằng nào giống signature thì làm theo kịch bản bạn đã sắp xếp sẵn. - Ky0 -

Đặt SnortSam ở chế độ inline hay passive

quangteospk — GMT

Đọc kỹ vài lần thì em cũng nắm rõ được vấn đề giữa Snort và iptables rồi. Nhưng điểm thắc mắc của em là, user từ ngoài truy cập vô IP mặt ngoài của iptables, iptables NAT vô Snort và từ chỗ này làm sao đi tiếp vô Web, điểm em thấy lạ là chẳng lẽ mình lại phải dùng iptables trên con snort này và NAT thêm lần nữa chăng. Hôm qua có đọc lại mấy quyển ebook thì có nhắc tới khái niệm steath mode (no IP) để Snort như trong suốt trong hệ thống mạng hoặc cấu hình 2 card mạng của Snort như một Bridge nhưng em vẫn chưa hình dung được điều này đúng hay không?

Đặt SnortSam ở chế độ inline hay passive

vd_ — GMT

wtf? bạn tìm hiểu kỹ thêm về NAT, về tcp/ip stack, về cách iptable xử lý các packet trước đã