banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Sự khác nhau giữ snort và snort_inline?  XML
  [Question]   Sự khác nhau giữ snort và snort_inline? 14/04/2010 00:36:21 (+0700) | #1 | 208929
rongdennt
Member

[Minus]    0    [Plus]
Joined: 08/12/2007 10:19:36
Messages: 55
Offline
[Profile] [PM]
Như tựa đề, mình muốn hỏi về sự khác nhau trong cách thức hoạt động của snort và snort_line. Xét theo phương diện cách thức hoạt động? Các layer mà snort và snort_inline có thể tác động ảnh hưởng của nó lên server?

Theo như mình tìm hiểu được thì snort_inline hoạt động dựa trên hàng đợi (QUEUE), các packet đi vào sẽ gặp tường lửa (iptables) xét duyệt, nếu gói tin đó được iptables đưa vài QUEUE thì snort_inline sẽ xử lý gói tin này (drop / Accept).
Còn snort thì theo mình hiểu thì các packet đi qua iptables sẽ gặp nó, nó cũng xử lý gói tin dựa vào signature.

Những hiểu biết của mình còn chỗ nào chưa đúng, mong mọi người giúp đỡ để mình hoàn thiện chỗ còn thiếu. Cái này rất quan trọng, nếu hiểu sai hoặc không đúng thì sẽ gặp RẤT NHIỀU KHÓ KHĂN VÀ SAI LẦM trong quá trình sử dụng và bảo mật.

Cảm ơn đã đọc bài
Cổ nhân dạy: Vĩ nhân bàn ý tưởng, thường dân bàn sự kiện, tiểu nhân bàn con người.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 14/04/2010 00:40:52 (+0700) | #2 | 208930
rongdennt
Member

[Minus]    0    [Plus]
Joined: 08/12/2007 10:19:36
Messages: 55
Offline
[Profile] [PM]
Các layer mà snort và snort_inline có thể tác động ảnh hưởng của nó lên server?
-->viết sai, phải là tác động ảnh hưởng của nó lên packet
Cổ nhân dạy: Vĩ nhân bàn ý tưởng, thường dân bàn sự kiện, tiểu nhân bàn con người.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 14/04/2010 22:25:58 (+0700) | #3 | 209011
rongdennt
Member

[Minus]    0    [Plus]
Joined: 08/12/2007 10:19:36
Messages: 55
Offline
[Profile] [PM]
Mọi người giúp mình với. Ngóng chờ sự giúp đỡ từng giờ
Cổ nhân dạy: Vĩ nhân bàn ý tưởng, thường dân bàn sự kiện, tiểu nhân bàn con người.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 15/04/2010 06:15:03 (+0700) | #4 | 209025
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

rongdennt wrote:
Như tựa đề, mình muốn hỏi về sự khác nhau trong cách thức hoạt động của snort và snort_line. Xét theo phương diện cách thức hoạt động? Các layer mà snort và snort_inline có thể tác động ảnh hưởng của nó lên server?

Theo như mình tìm hiểu được thì snort_inline hoạt động dựa trên hàng đợi (QUEUE), các packet đi vào sẽ gặp tường lửa (iptables) xét duyệt, nếu gói tin đó được iptables đưa vài QUEUE thì snort_inline sẽ xử lý gói tin này (drop / Accept).
Còn snort thì theo mình hiểu thì các packet đi qua iptables sẽ gặp nó, nó cũng xử lý gói tin dựa vào signature.

Những hiểu biết của mình còn chỗ nào chưa đúng, mong mọi người giúp đỡ để mình hoàn thiện chỗ còn thiếu. Cái này rất quan trọng, nếu hiểu sai hoặc không đúng thì sẽ gặp RẤT NHIỀU KHÓ KHĂN VÀ SAI LẦM trong quá trình sử dụng và bảo mật.

Cảm ơn đã đọc bài 


- snort-inline là một cách tích hợp snort alerts với iptables để xử lý tình huống khi tình huống xảy ra.
Ví dụ, snort đang theo dõi tình hình network và thấy có một chuỗi "code red" xuất hiện trên network, với "inline" nó báo cho iptables block luồng "code red" này.

- snort là một một IDS tách biệt và dùng để theo dõi những biến cố xảy ra trên tcp/ip stack (do mình ấn định). Bản thân snort có một số biện pháp xử lý đơn giản và snort hoàn toàn không có liên quan gì đến iptables hết.
Ví dụ, snort đang theo dõi tình hình network và thấy có một chuỗi "code red" xuất hiện trên network, nếu không "inline" với iptables, snort chỉ đơn giản cảnh báo vào một hệ thống cảnh báo nào đó hoặc có một số phản ứng nhất định (do mình ấn định cho nó). Trong hoàn cảnh "không inline" này, iptables hoàn toàn không có liên quan gì hết vì nó chẳng được ai cảnh báo để làm gì hết.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 15/04/2010 08:17:53 (+0700) | #5 | 209035
rongdennt
Member

[Minus]    0    [Plus]
Joined: 08/12/2007 10:19:36
Messages: 55
Offline
[Profile] [PM]

conmale wrote:

- snort-inline là một cách tích hợp snort alerts với iptables để xử lý tình huống khi tình huống xảy ra.
Ví dụ, snort đang theo dõi tình hình network và thấy có một chuỗi "code red" xuất hiện trên network, với "inline" nó báo cho iptables block luồng "code red" này.

- snort là một một IDS tách biệt và dùng để theo dõi những biến cố xảy ra trên tcp/ip stack (do mình ấn định). Bản thân snort có một số biện pháp xử lý đơn giản và snort hoàn toàn không có liên quan gì đến iptables hết.
Ví dụ, snort đang theo dõi tình hình network và thấy có một chuỗi "code red" xuất hiện trên network, nếu không "inline" với iptables, snort chỉ đơn giản cảnh báo vào một hệ thống cảnh báo nào đó hoặc có một số phản ứng nhất định (do mình ấn định cho nó). Trong hoàn cảnh "không inline" này, iptables hoàn toàn không có liên quan gì hết vì nó chẳng được ai cảnh báo để làm gì hết. 


Cho em hỏi thêm.
- Với trường hợp snort_inline, "chuỗi code red" này có phải là các alert mà snort_inline cảnh báo không? Và iptables gặp alert do snort_inline chuyển đến sẽ DROP (block) hay REJECT ? Quá trình này tự động hoá hay là cần phải do mình cấu hình?

- Còn trường hợp snort, như em đọc trong loạt ký sự DDoS HVA, thì em thấy snort có một số phản ứng như gửi cờ RST đến nguồn gửi, đích nhận gói tin để kết thúc phiên giao dịch, như vậy có thể nói snort trong trường hợp này, snort có chức năng gần giống như 1 IPS? Đặt trường hợp "đánh gió" như trong bài ký sự DDoS HVA (cờ RST chưa kịp đến nơi thì gói tin đó đã chạy lên layer cao hơn mất rồi), mình có cách nào khắc phục hoặc hạn chế không?

- Với kinh nghiệm của anh, snort và snort_inline nên dùng trong trường hợp nào để phát huy cao nhất sức mạnh của nó?

Cảm ơn anh đã giải đáp, rất dễ hiểu.

p/s: Em vẫn đang thắc mắc trong loạt bài ký sự DDoS HVA, sao anh dùng snort mà không dùng snort_inline? theo suy đoán của em, nếu dùng snort_inline, các gói tin vi phạm các signature của snort sẽ phải đưa cho iptables xử lý, như vậy tốn thêm 1 ít thời gian, sẽ rơi vào trường hợp "đánh gió" nhiều hơn?
Cổ nhân dạy: Vĩ nhân bàn ý tưởng, thường dân bàn sự kiện, tiểu nhân bàn con người.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 15/04/2010 10:05:45 (+0700) | #6 | 209050
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

rongdennt wrote:

Cho em hỏi thêm.
- Với trường hợp snort_inline, "chuỗi code red" này có phải là các alert mà snort_inline cảnh báo không? Và iptables gặp alert do snort_inline chuyển đến sẽ DROP (block) hay REJECT ? Quá trình này tự động hoá hay là cần phải do mình cấu hình?
 

Với snort hoặc bất cứ ứng dụng IDS nói chung nào cũng cần phải có một bộ luật, còn gọi là các "signature". Các "signature" này cho snort biết rằng trong các gói tin đi vào (và đi ra) mà snort có thể thấy được, nó nên xét và cảnh báo những gì trùng với "signature". Nếu không có "signatures", snort chẳng biết phải cảnh báo cái gì hết. Bởi thế, "code red" là một ví dụ và signature cụ thể để snort biết "code red" là gì là điều cần thiết.

Chuyện iptables DROP hay REJECT là tuỳ chọn lựa và tuỳ tình huống. Nói tóm lại:
- snort-inline (chính là snort) dùng để theo dõi các gói tin.
- iptables là công cụ dùng để "xử lý" những gì "snort-inline" cảnh báo và "xử lý" thế nào là tuỳ cách ứng dụng khả năng của iptables. Trong trường hợp này, snort-inline + iptables biến thành một IPS.

rongdennt wrote:

- Còn trường hợp snort, như em đọc trong loạt ký sự DDoS HVA, thì em thấy snort có một số phản ứng như gửi cờ RST đến nguồn gửi, đích nhận gói tin để kết thúc phiên giao dịch, như vậy có thể nói snort trong trường hợp này, snort có chức năng gần giống như 1 IPS? Đặt trường hợp "đánh gió" như trong bài ký sự DDoS HVA (cờ RST chưa kịp đến nơi thì gói tin đó đã chạy lên layer cao hơn mất rồi), mình có cách nào khắc phục hoặc hạn chế không?
 

Khả năng gởi RST của snort chỉ giới hạn từng gói tin "vi phạm" chớ không xử lý triệt để đến nguồn vi phạm. Ví dụ, có ai đó đang brute force cổng SSH của máy chủ, snort chỉ có thể "canh me" mà gởi RST nếu nó thấy có hiện tượng brute force (tất nhiên phải cung cấp cho snort một signature để nó biết "brute force" đến cổng SSH có đặc trưng như thế nào). Trong khi đó, một IPS đúng nghĩa có thể xử lý triệt để hơn. Ví dụ: ai đó brute force đến cổng SSH, snort-inline gởi cảnh báo đến iptables. Iptables có thể DROP các packets ấy. Sau 5 lần tái phạm (trong vòng 1 phút chẳng hạn) thì iptables cho nó vô "blacklist" và block IP đó luôn, khỏi phải drop từng packet vi phạm nữa.

rongdennt wrote:

- Với kinh nghiệm của anh, snort và snort_inline nên dùng trong trường hợp nào để phát huy cao nhất sức mạnh của nó?
 

Tuỳ trường hợp, tuỳ hoàn cảnh. Sức mạnh của việc tích hợp snort_inline và iptables chỉ có thể "mạnh" nếu như snort được cung cấp những "signatures" chính xác và ít bị "false positive". Nói cho cùng, snort_inline, iptables hay bất cứ công cụ nào cũng chỉ là những công cụ. Để phát huy cao nhất sức mạnh của nó, mình cần 2 điều:
- Biết rõ mình muốn gì, có nhu cầu gì.
- Biết rõ công cụ mình chọn dụng có khả năng đáp ứng nhu cầu của mình đến mức nào.

Chi tiết kỹ thuật thế nào chỉ đơn giản phụ thuộc vào mức độ đào sâu của người ứng dụng và áp dụng vô trong thực tế.

rongdennt wrote:

Cảm ơn anh đã giải đáp, rất dễ hiểu.

p/s: Em vẫn đang thắc mắc trong loạt bài ký sự DDoS HVA, sao anh dùng snort mà không dùng snort_inline? theo suy đoán của em, nếu dùng snort_inline, các gói tin vi phạm các signature của snort sẽ phải đưa cho iptables xử lý, như vậy tốn thêm 1 ít thời gian, sẽ rơi vào trường hợp "đánh gió" nhiều hơn?  

snort được dùng trong một giai đoạn chống DDoS chỉ là một biện pháp phụ trợ. Bản thân snort không phải là một công cụ tốt để kháng cự DDoS, nó chỉ có thể cảnh báo hoặc cung cấp thông tin thu thập được để giúp mình có biện pháp đối phó bằng những công cụ khác.

Xét về mặt kỹ thuật, trong tình huống bị DDoS nặng nề, bất cứ công đoạn xử lý packets nào thiếu hữu hiệu và nhanh chóng đều có thể khiến cho máy chủ bị chết nhanh hơn. Càng ít xử lý, càng triệt tiêu nhanh nguồn DDoS thì càng duy trì được máy chủ.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 15/04/2010 15:32:30 (+0700) | #7 | 209073
rongdennt
Member

[Minus]    0    [Plus]
Joined: 08/12/2007 10:19:36
Messages: 55
Offline
[Profile] [PM]
Cảm ơn anh rất nhiều.
Những chỉ dẫn của anh giúp em rất nhiều. Có gì thắc mắc em sẽ nhờ anh giúp nữa. smilie
Cổ nhân dạy: Vĩ nhân bàn ý tưởng, thường dân bàn sự kiện, tiểu nhân bàn con người.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 20/04/2010 19:07:50 (+0700) | #8 | 209425
[Avatar]
phathuynh26
Member

[Minus]    0    [Plus]
Joined: 10/04/2010 08:55:38
Messages: 93
Offline
[Profile] [PM]
Theo em thấy thì giải pháp phần mềm IDS không tốt bằng giải pháp phần cứng, ai cũng nói phần cứng tốt hơn nhưng hơi mắc tiền, sinh viên tụi em thì chỉ biết dùng giải pháp phần mềm để demo học tập thôi! Anh thấy sao, Snort_inline + iptables có được dùng phổ biến không?
Genius is 1% inspiration and 99% perspiration - Thomas Edison
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 20/04/2010 19:28:43 (+0700) | #9 | 209427
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

phathuynh26 wrote:
Theo em thấy thì giải pháp phần mềm IDS không tốt bằng giải pháp phần cứng, ai cũng nói phần cứng tốt hơn nhưng hơi mắc tiền, sinh viên tụi em thì chỉ biết dùng giải pháp phần mềm để demo học tập thôi! Anh thấy sao, Snort_inline + iptables có được dùng phổ biến không? 


Phần cứng và phần mềm khó có thể nói cái nào tốt hơn được! Mỗi cái có điểm yếu và điểm mạnh riêng của nó! Tuỳ theo mục đích và kinh phí mà đưa ra lựa chọn phù hợp.

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 20/04/2010 20:15:11 (+0700) | #10 | 209431
[Avatar]
tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]

conmale wrote:
Với snort hoặc bất cứ ứng dụng IDS nói chung nào cũng cần phải có một bộ luật, còn gọi là các "signature". Các "signature" này cho snort biết rằng trong các gói tin đi vào (và đi ra) mà snort có thể thấy được, nó nên xét và cảnh báo những gì trùng với "signature". Nếu không có "signatures", snort chẳng biết phải cảnh báo cái gì hết. Bởi thế, "code red" là một ví dụ và signature cụ thể để snort biết "code red" là gì là điều cần thiết. 


Snort dựa vào các "signature" để "nhận biết" các cuộc tấn công nhưng theo em suy nghĩ thế này, giả sử em là thằng attacker cũng biết được các rules này và từ đó nó bắt đầu tìm cách "qua mặt" các "rào cản" này chẳng khác nào dùng snort như con dao có 2 lưỡi (em chỉ ví dụ) smilie

Vậy có cách nào "phản ứng" với thằng attacker trên đang dự tính "qua mặt" hay là phải bắt đầu hình thành nên 1 bộ luật snort cho riêng mình mà không "đụng hàng" với bất cứ bộ luật mặc định của snort vậy anh smilie
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 20/04/2010 21:53:04 (+0700) | #11 | 209443
[Avatar]
phathuynh26
Member

[Minus]    0    [Plus]
Joined: 10/04/2010 08:55:38
Messages: 93
Offline
[Profile] [PM]
Chính xác, luật của Snort đã được public free trên mạng, chúng ta nên customize rules lại...Còn vấn đề customize như thế nào thì... smilie
Genius is 1% inspiration and 99% perspiration - Thomas Edison
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 21/04/2010 05:53:15 (+0700) | #12 | 209453
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

phathuynh26 wrote:
Theo em thấy thì giải pháp phần mềm IDS không tốt bằng giải pháp phần cứng, ai cũng nói phần cứng tốt hơn nhưng hơi mắc tiền, sinh viên tụi em thì chỉ biết dùng giải pháp phần mềm để demo học tập thôi! Anh thấy sao, Snort_inline + iptables có được dùng phổ biến không? 


Em dựa vào những yếu tố nào để nhận thấy phần mềm IDS không tốt bằng giải pháp phần cứng vậy?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 21/04/2010 06:20:30 (+0700) | #13 | 209454
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

tranhuuphuoc wrote:
Snort dựa vào các "signature" để "nhận biết" các cuộc tấn công nhưng theo em suy nghĩ thế này, giả sử em là thằng attacker cũng biết được các rules này và từ đó nó bắt đầu tìm cách "qua mặt" các "rào cản" này chẳng khác nào dùng snort như con dao có 2 lưỡi (em chỉ ví dụ) smilie

Vậy có cách nào "phản ứng" với thằng attacker trên đang dự tính "qua mặt" hay là phải bắt đầu hình thành nên 1 bộ luật snort cho riêng mình mà không "đụng hàng" với bất cứ bộ luật mặc định của snort vậy anh smilie  


Mỗi packet đều có những đặc trưng riêng và công việc của một người quản lý snort (hoặc bất cứ IDS nào) là phải biết nhận ra những điểm đặc trưng ấy để giúp cho IDS làm việc hữu hiệu nhất.

Em thử hình dung snort cũng giống như một ông bảo vệ đang đứng quan sát ở cửa ra vào của vũ trường "Oriental". Em là trưởng ban bảo vệ của vũ trường này và em ra quy định cụ thể cho ông bảo vệ phải quan sát, cảnh báo và có thể có hành động nào đó nếu như có "dân chơi" nào vô vũ trường mà mặc quần xà lỏn, đi tông lèo hoặc vác súng AK hoặc không mặc quần áo gì hết.... Các tính chất nhận diện ở đây dựa vào những điểm đặc thù của dân chơi xuất hiện ở cửa vũ trường. Những đặc điểm này dễ nhận và dễ hình thành "luật" ra vô.

Tuy nhiên, nếu các "dân chơi" này ăn mặc đàng hoàng nhưng có thể dắt súng ngăn sau lưng (chẳng hạn), khi đó ông bảo vệ không có cách gì biết (hoặc thấy) được. Trong hoàn cảnh này, em phải dùng một biện pháp kỹ thuật khác ví dụ như dùng hệ thống chụp hoặc rà kim loại (tương tự như ở các phi trường chẳng hạn). Ông nào bị dính thì không cho vô chơi.

Đối với snort, hoàn cảnh và quy định xử lý cũng tương tự như ví dụ "vũ trường" ở trên. Để có thể kiểm soát packets (dân chơi vũ trường) ra vô, em phải có những quy định cụ thể dựa trên nhu cầu và đòi hỏi của từng nơi. Em có thể hình thành bao nhiêu bộ luật "riêng" cũng được nhưng phải tuân thủ theo cái chung đó là những đặc tính của packets (diện mạo, trang phục của dân chơi vũ trường). Dù bộ luật của em có "riêng" đến mức nào đi chăng nữa, nó cũng phải dựa trên một nguyên tắc nhất định và tính "riêng" ở đây không còn là "riêng" nữa. Vấn đề ở đây chỉ còn thu gọn ở chỗ: hợp lệ hay không hợp lệ cho từng nhu cầu.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 22/04/2010 15:19:45 (+0700) | #14 | 209583
[Avatar]
blackholesun
Member

[Minus]    0    [Plus]
Joined: 04/08/2005 02:29:50
Messages: 57
Offline
[Profile] [PM]

phathuynh26 wrote:
Theo em thấy thì giải pháp phần mềm IDS không tốt bằng giải pháp phần cứng, ai cũng nói phần cứng tốt hơn nhưng hơi mắc tiền, sinh viên tụi em thì chỉ biết dùng giải pháp phần mềm để demo học tập thôi! Anh thấy sao, Snort_inline + iptables có được dùng phổ biến không? 


Mình không biết là bạn dựa vào đâu kể kết luận IDS "mềm" không tốt bằng IDS "cứng". Mình không nói là sai, nhưng kết luận này mình thấy hơi vội.

Tại sao "cứng" mắc tiền? Tại vì hãng đã làm cho bạn tất cả mọi thứ, từ chế tạo phần cứng cho đến việc bảo hành, bảo trì và hỗ trợ bạn theo một cam kết cụ thể, mức độ ràng buộc cụ thể. Cho đến việc hãng phải mua các engine của các hãng khác để tích hợp vào chung một sản phẩm để bán cho bạn. Và nhiều thứ khác ... lúc này chi phí cao là đúng rồi.

Còn chuyện "cứng" hay "mềm" tốt hay không tốt thì phải xét theo các yếu tố từ chính bạn (người sử dụng): kiến thức của bạn khi bạn sử dụng sản phẩm có tối ưu cho môi trường của bạn, bạn có khả năng tích hợp nhiều thành phần nguồn mở thành 1 thứ hoàn chỉnh mà bạn cần hay không?

Hiện nay có rất nhiều sản phẩm "cứng" bán trên thị trường được phát triển từ nguồn mở. Họ bán gì, sản phẩm hay kiến thức?

Sorry mọi người, mình bàn hơi ngoài lề chút xíu!
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 16/02/2011 02:00:13 (+0700) | #15 | 231151
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

conmale wrote:
. Ví dụ: ai đó brute force đến cổng SSH, snort-inline gởi cảnh báo đến iptables. Iptables có thể DROP các packets ấy. Sau 5 lần tái phạm (trong vòng 1 phút chẳng hạn) thì iptables cho nó vô "blacklist" và block IP đó luôn, khỏi phải drop từng packet vi phạm nữa.
 


Chào anh!
Trong ví dụ trên em thắc mắc là snort-inline có thể gởi cảnh báo đến iptables bằng cách nào? trong khi iptables đẩy các packets vào trong QUEUE để snort-inline xử lý, sau khi snort-inline xử lý packet xong liệu iptables có thể xử lý lại packet đó lần nữa không?
trong ví dụ trên thay vì cho các ip vi phạm vào "blacklist" mình có thể chuyển các packets của ip vi phạm vào "backhole" (/dev/null chẳng hạn) được không?

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 16/02/2011 03:27:50 (+0700) | #16 | 231152
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Ky0 wrote:

conmale wrote:
. Ví dụ: ai đó brute force đến cổng SSH, snort-inline gởi cảnh báo đến iptables. Iptables có thể DROP các packets ấy. Sau 5 lần tái phạm (trong vòng 1 phút chẳng hạn) thì iptables cho nó vô "blacklist" và block IP đó luôn, khỏi phải drop từng packet vi phạm nữa.
 


Chào anh!
Trong ví dụ trên em thắc mắc là snort-inline có thể gởi cảnh báo đến iptables bằng cách nào? trong khi iptables đẩy các packets vào trong QUEUE để snort-inline xử lý, sau khi snort-inline xử lý packet xong liệu iptables có thể xử lý lại packet đó lần nữa không?
 

Có lẽ em hơi bối rối về sự khác biệt giữa snort và snort_inline.

Cốt lõi khác nhau giữa snort và snort_inline nằm ở chỗ: snort dùng libpcap còn snort_inline thì được điều chỉnh để dùng libipq (của netfilter) để capture packets đi xuyên qua mạng. Cả snort lẫn snort_inline đều dùng config và các rules (signatures) y hệt nhau. Chỉ có điều, snort_inline có thêm chức năng "react" để thông báo iptables xử lý gói tin.

Việc "snort_inline" xử lý có nghĩa là nó dựa trên rule set của snort để thông báo cho iptables "xử" và bởi vậy không thể có trường hợp "sau khi snort-inline xử lý packet xong liệu iptables có thể xử lý lại packet đó" được.

Ky0 wrote:

trong ví dụ trên thay vì cho các ip vi phạm vào "blacklist" mình có thể chuyển các packets của ip vi phạm vào "backhole" (/dev/null chẳng hạn) được không?

- Ky0 - 

Anh nghĩ là có thể được nếu mình "hack" source code của snort inline để điều chỉnh. Căn bản mà nói, snort_inline chỉ ra lệnh cho iptables DROP hoặc ACCEPT thôi. Việc ấn định cho iptables đưa IP nào đó vô "blacklist" (sau bao nhiêu lần vi phạm) là việc nằm trên biên độ iptables chớ snort không có khả năng đếm bao nhiêu lần 1 IP vi phạm cái gì đó.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 02/04/2012 19:42:01 (+0700) | #17 | 260687
hoakhanh281
Member

[Minus]    0    [Plus]
Joined: 13/05/2011 04:55:28
Messages: 18
Offline
[Profile] [PM]
Nhân tiện đang bàn luận tới vấn đề này em muốn hỏi thêm mọi người khi triển khai snort_inline.



Mình được biết có 3 cách để triễn khai snort như IPS
-Trước firewall
-Trên firewall+ iptables
-Sau firewall

Trường hợp 1-3 thì cũng tương tự nhau.
Trường hợp 2 thì có lẽ sẽ tiêu tốn khá nhiều tài nguyên cho server.

Còn trường hợp 1-3 thì mình đang rất bối rồi

Internet ----->Snort(server)----->iptables firewall(server)---->Lan
Lúc này Server triển khai Snort sẽ có 2 card mạng(Inter nối vào firewall và Exter từ internet vào)
+ Lúc này phải cấu hình như thế nào để tất các gói tin đi qua đều tới firewall phía sau(Có phải dùng NAT) ?
+ Nếu triễn khai như thế này thì việc cập nhật Rule cho firewall phía sau sẽ như thế nào ?Hay là triển khai thêm iptables ngay trên Snort Server?

Mong mọi người giúp đở.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 03/04/2012 20:45:58 (+0700) | #18 | 260762
hoakhanh281
Member

[Minus]    0    [Plus]
Joined: 13/05/2011 04:55:28
Messages: 18
Offline
[Profile] [PM]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 04/04/2012 08:16:04 (+0700) | #19 | 260779
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

hoakhanh281 wrote:
Nhân tiện đang bàn luận tới vấn đề này em muốn hỏi thêm mọi người khi triển khai snort_inline.



Mình được biết có 3 cách để triễn khai snort như IPS
-Trước firewall
-Trên firewall+ iptables
-Sau firewall

Trường hợp 1-3 thì cũng tương tự nhau.
Trường hợp 2 thì có lẽ sẽ tiêu tốn khá nhiều tài nguyên cho server.

Còn trường hợp 1-3 thì mình đang rất bối rồi

Internet ----->Snort(server)----->iptables firewall(server)---->Lan
Lúc này Server triển khai Snort sẽ có 2 card mạng(Inter nối vào firewall và Exter từ internet vào)
+ Lúc này phải cấu hình như thế nào để tất các gói tin đi qua đều tới firewall phía sau(Có phải dùng NAT) ?
+ Nếu triễn khai như thế này thì việc cập nhật Rule cho firewall phía sau sẽ như thế nào ?Hay là triển khai thêm iptables ngay trên Snort Server?

Mong mọi người giúp đở. 


- Vui lòng đọc kỹ lại các bài viết bên trên để hiểu snort_inline là gì? Nó khác với Snort như thế nào?
- Sơ đồ của bạn là sơ đồ vật lý hay logic?
- IPS thường chiếm performance của mạng nên thường được triển khai sau Firewall (gần server cần bảo vệ).
- Snort không thể NAT mà phải NAT trước hoặc sau khi đi qua Snort

- Ky0 -

PS: HVA không có văn hóa up bài
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 04/04/2012 11:03:35 (+0700) | #20 | 260786
hoakhanh281
Member

[Minus]    0    [Plus]
Joined: 13/05/2011 04:55:28
Messages: 18
Offline
[Profile] [PM]
Cảm ơn Ky0 đã trả lời


Đây là mô hình mạng của mình.Mình muốn triển khai snort ở chế độ IPS inline như ở trong hình.
Nhưng chưa biết được cách nào để :
+ Lưu lượng từ firewall tới đi qua Snort có thể đi tiếp tới LAN.(Có phải dùng NAT trên server snort hay tạo bridge giửa 2 card mạng của Snort Server)
+Snort phía sau sẽ cập nhật rule cho iptables phía trước.
Với iptables và snort_inline triển khai trên cùng 1 server thì mình đã hiểu cơ chế hoạt động.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 06/04/2012 08:42:21 (+0700) | #21 | 260901
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
@hoakhanh
2 cách:
1- dùng snortsam trên fw nhận drop request từ snort agent
2- send snort log (fast_alert) về 1 server (có thể là chính cái fw đó) rồi xử lý log, add iptable rule
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 07/04/2012 08:10:50 (+0700) | #22 | 260974
hoakhanh281
Member

[Minus]    0    [Plus]
Joined: 13/05/2011 04:55:28
Messages: 18
Offline
[Profile] [PM]
Vd_ có thể giúp mình cái ý thứ 1 được không.Cái chổ làm sao để các gói tin vượt qua được snort_server đó.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 12/04/2012 18:34:13 (+0700) | #23 | 261263
hoakhanh281
Member

[Minus]    0    [Plus]
Joined: 13/05/2011 04:55:28
Messages: 18
Offline
[Profile] [PM]
Dạo này các bác bận bịu hay sao ấy,không thấy ai góp ý giùm em với.
Sau một thời gian tìm hiểu em tìm ra giải pháp bridge :
Mô hình bridge của em :



Em đã tiến hành bridge thành công.Snort Server đã ping thấy firewall phía trước.Nhưng gặp trở ngại khác là
em đang triễn khai trên VmWare.
Lúc chưa bridge:
Iptables server có 2 card mạng : VMware 1(192.168.100.2) và 1 card để ở chế độ bridge(nhận ip từ máy thật 192.168.1.10)
Lúc này đã ra internet thành công.

Lúc bridge thành công rồi thì em cấu hình cho Snort Server trỏ default gateway về 192.168.1.2(Ip của br0 trên iptables server)

Lúc này em không thể từ snort server ra mạng được.
Mong mọi người giúp đở.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 08/10/2012 23:49:21 (+0700) | #24 | 269992
stonewall
Member

[Minus]    0    [Plus]
Joined: 22/04/2010 02:44:05
Messages: 18
Offline
[Profile] [PM]

conmale wrote:
- snort-inline là một cách tích hợp snort alerts với iptables để xử lý tình huống khi tình huống xảy ra.
Ví dụ, snort đang theo dõi tình hình network và thấy có một chuỗi "code red" xuất hiện trên network, với "inline" nó báo cho iptables block luồng "code red" này.

- snort là một một IDS tách biệt và dùng để theo dõi những biến cố xảy ra trên tcp/ip stack (do mình ấn định). Bản thân snort có một số biện pháp xử lý đơn giản và snort hoàn toàn không có liên quan gì đến iptables hết


Em đọc trong Snort manual guide 2.9.x thì Snort có giới thiệu thư viện DAQ-Data Asquistion library , trong đó có 2 option
- NFQ : để xử lý packet của iptables. trích nguyên bản "NFQ is the new and improved way to process iptables packets ".
- IFQ : là phiên bản cũ của NFQ

Ai giải thích giúp em với ạ. Trong tài liệu chỉ nói ngắn gọn vậy về option này.
[Up] [Print Copy]
  [Question]   Sự khác nhau giữ snort và snort_inline? 10/12/2012 19:40:54 (+0700) | #25 | 271706
trungvec
Member

[Minus]    0    [Plus]
Joined: 17/03/2004 23:07:45
Messages: 3
Offline
[Profile] [PM]
Em nghĩ phần mềm Chạy Tren seRVer nen kha nang chuyen mạch (chuyen packet ) cua no khong bang cac phan cung chuyen dụng

) uote=conmale]

phathuynh26 wrote:
Theo em thấy thì giải pháp phần mềm IDS không tốt bằng giải pháp phần cứng, ai cũng nói phần cứng tốt hơn nhưng hơi mắc tiền, sinh viên tụi em thì chỉ biết dùng giải pháp phần mềm để demo học tập thôi! Anh thấy sao, Snort_inline + iptables có được dùng phổ biến không? 


Em dựa vào những yếu tố nào để nhận thấy phần mềm IDS không tốt bằng giải pháp phần cứng vậy? 
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|