| [Question] Đặt SnortSam ở chế độ inline hay passive |
20/12/2012 22:04:06 (+0700) | #1 | 272006 |
![[Avatar]](/hvaonline/images/avatar/ceb8f18a353176d81c6276c4a342a231.jpg "[Avatar]")
|
quangteospk
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 20/10/2009 04:05:30
Messages: 123
Offline
|
|
Em có theo dõi chủ đề: Sự khác nhau giữa snort và snort_inline
/hvaonline/posts/list/34001.html
Hiện tại sau khi đọc kỹ vài lần em thấy mình có một điểm thắc mắc giống với anh hoakhanh281 trong chủ đề đó nhưng chưa được giải đáp.
1. Theo như post đầu tiên của anh conmale:
snort đang theo dõi tình hình network và thấy có một chuỗi "code red" xuất hiện trên network, với "inline" nó báo cho iptables block luồng "code red" này.
Thì snort (snort_inline) ở đây phải ở chế độ inline thì mới gửi alert cho iptables block luồng "code_red" được. Nếu vậy thì nếu để snort ở chế độ passive thì có phải là snort_inline + iptables không thể trở thành IPS và block các luồng đó?
2. Giả sử em có mô hình như sau.
<internet>-----------<1.1.1.1><iptables><192.168.x.x>-------<192.168.x.x><snortsam><10.0.0.x>--------<10.0.0.x><web server>
Lúc này <iptables> và <snortsam> sẽ đóng vai trò như một IPS. Nếu snortsam match một gói với luật, gửi alert tới iptables và iptables sẽ DROP luồng đó.
Vấn đề là iptables em cấu hình NAT Inbound, để mỗi khi bên ngoài truy cập vào địa chỉ mặt ngoài của iptables <1.1.1.1> port 80 thì forward vô webserver.
Điểm thắc mắc của em là nếu để snortsam ở chế độ inline như vậy thi làm sao iptables có thể forward vô được webserver phía trong.
Nếu để snortsam ở chế độ passive như ở ý [1] thì nó lại không đảm nhiệm được chức năng IPS.
Nhờ mọi người tư vấn dùm 
|
|
| Jazz |
|
 |
|
| [Question] Đặt SnortSam ở chế độ inline hay passive |
21/12/2012 15:26:29 (+0700) | #2 | 272017 |
vd_
Member
|
|
0 |
|
|
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
|
|
drop source chứ đâu có drop 1.1.1.1 đâu mà bạn lo
bạn đã dựng vm và test thử lý thuyết của bạn chưa? |
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận hệ điều hành *nix
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[Avatar]](/hvaonline/images/avatar/ee57e7e13a1e4820f716d2bca44f4ed9.png "[Avatar]")
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")