カスタム侵入検知システムでパケットをドロップする方法
カスタムの侵入検知および防止システム(IDS/IPS)を構築しようとしています。 [〜#〜]ロープ[〜#〜] という名前の優れたユーティリティを見つけました。このユーティリティは、パケットペイロードをスキャンし、スクリプトによって設定されたルールに従わないパケットをドロップできます。これは私の目的を完全に果たします。ペイロードで特定のテキストをチェックしてからドロップするか許可することです(複数の文字列をチェックしたいので、iptablesの文字列機能は役に立ちません)ユーザー名、IDなどのペイロード内)。しかし、ROPEは本当に古く、何度も試みたにもかかわらず、正しくインストールできませんでした。
ペイロードに応じてiptablesにパケットをドロップするのに役立つ同様のプログラムを知っていますか?
どんな提案も大歓迎です:)
以前、ホームラボでsnortとfwsnortがiptablesルールを生成してテストしました。これを見たことがありますか?
警告:長い、哲学的な投稿が先にあります。 TLDR:利用可能な 既存のソリューション をもう一度見てください。
カスタムソリューションをローリングすることの魅力を理解しています。これを口にするつもりはありませんが、本番環境にデプロイする場合、合理的な類似物がすでに存在する意味のある複雑なインフラストラクチャを開発することは、 BadIdea™、特にセキュリティの分野で。
侵入検知システム(または構成管理システム、パッケージ配布システム、または高レベルのスクリプト言語)を設計するという非常に優れた仕事を行うには、ドメイン固有の知識に莫大な投資が必要です。あなたがその知識を持っているなら、あなたはおそらくすでに そこにある多くのプロジェクト の1つに関与しています。それはあなたが興味を持っている特定のニッチを埋めています。そうしないと、雇用主の時間と自分の努力を費やして、独自のソリューションのバージョン1を開発することになります。これは、これまでの成熟したコミュニティサポートのソリューションと比較して平凡なものになります。やる気のある専門家によって何年にもわたって洗練されました。
問題を調べてすぐに解決策の設計を開始するのは、システム管理者の自然な領域です。私たちは通常、創造的な才能と専門的な意欲の両方を備えており、問題、特に次のような大きなメタ問題を修正するのが大好きです。この種の野心を刺激します。費用便益方程式は、これらの問題を最初から解決することに賛成しない傾向があります。特に、適切に管理された既存のプロジェクトに貢献することで、より良い利益を得ることができる場合はなおさらです。
長い間続けてすみません。この問題の検討に役立つ何かを提供できたと思います。
@ Tzoukos-あなたの質問から、あなたは実際にはIDSやIPSを説明しているのではなく、ディープインスペクションファイアウォールを説明しています。
Snortはあなたが説明したことをすべて絶対に行うことができ、前述のように無料で利用できる豊富な署名があります...しかし、他のオプションを探している場合は、検索をIDS/IPSソリューションだけに限定しないでください。無料から驚くほど高価なものまで、すべての価格帯で多くのソリューションがあります:-)