web-dev-qa-db-ja.com

Snortベースのファイアウォール

私はSNORTをあまり使ったことがないか、これについてあまり研究をしていませんが、それは可能だと思われます。

サーバーをセットアップして、そのサーバーでsnortを実行した場合。それなら、ファイアウォールのようにすべてのトラフィックをファイアウォールのように自分のWebサイトにルーティングすることは可能でしょうか?これにより、すべての悪いトラフィックを除外するための中心点を持つことができますか?

転送に関しては、GREトンネリングを使用する必要がありますか、それともより良い方法がありますか? tryにし、可能な限りクライアントのIPを保持したいと思います。

したがって、Webサイトのトラフィックを転送してクライアントIPをパケットに保持し、すべてのクライアントをプロキシサーバーのIPにするのではなく、HA Proxy/nGinxを実行することができます。

linuxfirewallfreebsdfilteringsnort
3
Tiffany Walker

Snortのインストール方法の1つは、インラインモードと呼ばれます。この構成では、従来のルーターやファイアウォールと同様に、snortセンサーがトラフィックのチョークポイントになります。すべてのパケットは外部インターフェイスで受信され、snortアプリケーションを通過してから、内部インターフェイスに転送されます。正しく行われた場合、それはトラフィックに対して透過的であり、橋にすぎません。また、保護しようとしているサーバーを変更する必要もありません。他の場所に移動できないため、すべてのトラフィックはセンサーを通過します。

ここから、snortをIDSモードとIDPモードのどちらで実行するかを決定できます。 IDSの実装はそれほど怖くありません。アラートが発生し、不良トラフィックがログに記録されますが、パケットは引き続き渡されます。 IDPモードはパケットを分析し、設定されている場合、アラートがトリガーされるとパケットをドロップします。

いずれの場合も、構成するルールに注意し、センサーのサイズを適切に設定する必要があります。たとえば、snortdプロセスが過負荷でパケットを処理できない場合、反対側には送信されません。 snortが100%のCPU使用率、つまりメモリに達するのは非常に簡単です。

5
Scott Pack

最初の質問については-はい、それは可能です。 WebサーバーのDNSをSNORTを実行しているサーバーに設定し、そのサーバーにトラフィックを実際のWebサーバーに転送させます。これは、ファイアウォール/フィルタリングサーバーを設定するための標準的な方法の1つです。

2つ目は、長い議論を招く質問ですが、ServerFaultサイトに実際には適合しないものがあります。 「より良い」は非常に主観的で明確に定義されていない用語です。まず、セキュリティ、安定性、パッケージのアップグレード/更新のしやすさ、パフォーマンスなどの観点から、どのような優先順位があるかを検討する必要があります。それが完了したら、2つの異なるUNIXがそれらの点でどのように比較されるかを比較し始めることができます。いくつかの具体的な質問では、良い答えが得られる可能性が高くなります。

4
Jenny D

ファイアウォールのようにすべてのトラフィックをファイアウォールのように自分のWebサイトにルーティングすることは可能でしょうか?

それが可能であるだけでなく、実際に悪いトラフィックをドロップしたい場合は、まさにIPSを設定する必要があります。

そうでない場合、それはIDSになり、フラグの悪いトラフィックのみになります。

私が同意しないあなたの質問の唯一の部分は、Snortをファイアウォールと比較するときです。

ネットワークセキュリティの3つの側面が混ざり合っているような気がします。

IPS/IDS

ディープパケットインスペクションとシグニチャに基づいてトラフィックをドロップします

ファイアウォール

送信元、宛先、およびポートに基づいてトラフィックをドロップ/許可します。ファイアウォールは進化し、もはや「ダム」ではありませんが、これがファイアウォールを持つことの主な目標です。

Webアプリケーションファイアウォール(WAF)

IPSに少し似ていますが、HTTPおよびHTTPSトラフィックの検査を目的としています。 WAFは、IPSと同様に、適切な署名が提供されている場合、SQLインジェクションの試行をドロップできます。

これにより、すべての悪いトラフィックを除外するための中心点を持つことができますか?

あなたの声明の重要な部分はすべての悪いトラフィックです。それに対して、私はノーと答えます。

すべての不良トラフィックをブロックする唯一の方法は、すべてのトラフィックをブロックすることです。

フロントエンドを保護する3つすべて(IPS、ファイアウォール、WAF)で、現場で見た中で最も安全なWebアプリケーション。次に、アプリケーションとデータをファイアウォールで3つのレイヤーに分離しました。また、アプリケーションとデータ間のSQLインジェクション検査専用のIPSもありました。

何を推測します...それはおそらくまだすべての悪いトラフィックを落とすことができなかったでしょう。

最後に、使用するプラットフォームについて。

私は本当に好きです openBSD[〜#〜] pf [〜#〜] は、非常に強力で無料のファイアウォールです。

ただし、選択は、管理と構成に慣れているものに基づいて行う必要があります。 UbuntuまたはCentOSに慣れている場合は、それを使用してください。習得していないツールでアプリケーションを保護しようとしても意味がありません。

なぜなら、そうすると、ネットワークのセキュリティレベルを上げるのではなく、実際に下げる可能性があるからです。

2
Alex