Basti_litho
29.08.06, 09:55
Hallo,
versuche mich grade ein wenig mit Snort (-Q Inline Modus) herum zu spielen.
Leider stoß ich da auf schwierigkeiten.
Das ganze befindet sich auf einem Rechner. Dieser hat nur eine Netzwerkkarte.
Aber da ich es einfach nur mal testen möchte, dachte ich mir das reicht schon.
Leider habe ich jetzt gelesen das man für Snort im Inline Modus verschiedene Bridge Optionen im Kernel aktivieren muss - was ich getan habe.
Der aktuelle Stand:
-------------------------
* Habe mir verschiedene Artikel durchgelesen. Leider ist mir immer noch nicht alles klar geworden.
Habe Snort (2.6.0) mit "--enable-inline" übersetzt.
Regeln angepasst (auf drop gesetzt).
Kernel Module für eine "Bridge" gestatet.
Iptables Regel gesetzt: ("iptables -A OUTPUT -p tcp --dport 80 -j QUEUE").
Snort mit der Optioin "-Q" gestartet.
Eine meiner Regeln war z.b. diese hier:
drop tcp any any -> any any (classtype:attempted-user; msg:"Port 80 connection initiated"; content:"heise.de"; nocase;)
Ich weiß das man die "QUEUE" eigentlich auf die FORWARD Kette ansetzt - aber für Testzwecke sollte ja auch ein OUTPUT reichen.
Jetzt gibt es noch ein paar Sachen die ich nicht so ganz verstehe:
1. Das Netz (bzw. Internet) ist extrem langsam. :(
(obwohl es mit den bridge kernel modul zum erstenmal zu funktionieren scheint).
Es braucht für jede Seite ca. 3 Sekunden bis er anfängt sie zu laden - dann geht's aber, bis auf ein paar Bilder - die schaft er dann einfach nicht nachzuladen.
2. Die Regel die ich oben gezeigt habe wird zwar ausgeführt - aber nicht immer Protokolliert.
Hat jemand von euch Erfahrungen mit Snort (Inline Modus) oder würdet Ihr mir als IPS gleich was anderes empfehlen?
Vielen Dank & Gruß
basti
versuche mich grade ein wenig mit Snort (-Q Inline Modus) herum zu spielen.
Leider stoß ich da auf schwierigkeiten.
Das ganze befindet sich auf einem Rechner. Dieser hat nur eine Netzwerkkarte.
Aber da ich es einfach nur mal testen möchte, dachte ich mir das reicht schon.
Leider habe ich jetzt gelesen das man für Snort im Inline Modus verschiedene Bridge Optionen im Kernel aktivieren muss - was ich getan habe.
Der aktuelle Stand:
-------------------------
* Habe mir verschiedene Artikel durchgelesen. Leider ist mir immer noch nicht alles klar geworden.
Habe Snort (2.6.0) mit "--enable-inline" übersetzt.
Regeln angepasst (auf drop gesetzt).
Kernel Module für eine "Bridge" gestatet.
Iptables Regel gesetzt: ("iptables -A OUTPUT -p tcp --dport 80 -j QUEUE").
Snort mit der Optioin "-Q" gestartet.
Eine meiner Regeln war z.b. diese hier:
drop tcp any any -> any any (classtype:attempted-user; msg:"Port 80 connection initiated"; content:"heise.de"; nocase;)
Ich weiß das man die "QUEUE" eigentlich auf die FORWARD Kette ansetzt - aber für Testzwecke sollte ja auch ein OUTPUT reichen.
Jetzt gibt es noch ein paar Sachen die ich nicht so ganz verstehe:
1. Das Netz (bzw. Internet) ist extrem langsam. :(
(obwohl es mit den bridge kernel modul zum erstenmal zu funktionieren scheint).
Es braucht für jede Seite ca. 3 Sekunden bis er anfängt sie zu laden - dann geht's aber, bis auf ein paar Bilder - die schaft er dann einfach nicht nachzuladen.
2. Die Regel die ich oben gezeigt habe wird zwar ausgeführt - aber nicht immer Protokolliert.
Hat jemand von euch Erfahrungen mit Snort (Inline Modus) oder würdet Ihr mir als IPS gleich was anderes empfehlen?
Vielen Dank & Gruß
basti