Säker Snort?

[Anders Troback]

Den Wed, 20 May 2009 12:16:12 +0200
skrev Janne Johansson <jj at it.su.se>:

> Anders Troback wrote:
> > Hej!
> > 
> > Letar efter ett bra och säkert sätt att sniffa trafiken på utsidan
> > på en brandvägg! Det som jag vill använda är Snort och skicka
> > resultaten till Prelude-IDS som är inne på mitt LAN!
> > 
> > Det som bekymrar mig är hur Snort ska komma åt insidan utan att
> > behöva gå runt brandväggen. Snort skickar data, den hämtas inte av
> > prelude-manager. Det jag tänkte lite på är om man låter en FreeBSD
> > burk (kör mest FBSD) ha ett kort som lyssnar och sitter på utsidan
> > ett som kort som prelude pratar med och sitter i LAN (eller kanske
> > DMZ). Om man nu gör så så har jag ju byggt en väg runt min
> > brandvägg! Skulle även vara bra om FBSD bara kunde lyssna utan att
> > synas och inte ha en IP (ont om IP nr)?
> 
> En liknande moj gjorde surfnet för att sätta ut honeypots, kanske kan
> ta lite ideer från dem?
> 
> http://ids.surfnet.nl/wiki/doku.php?id=global:global
> 
> De kör sin(a) honeypots centralt, men sätter ut en dator (som bootar
> på usbsticka osv) som först dhcp:ar en IP, med den bygger
> layer2-tunnel in till honeypot-datorn som i sin tur "blir" en ip till
> över L2-tunneln.
> 
> På det viset kan man låta ful-trafik komma in till en väl vald plats
> på insidan där man har kapacitet att hantera det, utan att för den
> skull göra för elaka hål i sin fw, alt. kräva att burken på utsidan
> är extra-grymt-kapabel.
> 
> Det är en variant iaf.

Det var en intressant lösning! Komplex men den funkar nog bra!

Tack!

-- 
This message has been scanned for viruses and
dangerous content by MailScanner, and is
believed to be clean.