Säker Snort?
Jon Otterholm
jon.otterholm at ide.resurscentrum.se
Wed May 20 13:40:12 CEST 2009
Anders Troback wrote:
> Den Wed, 20 May 2009 12:19:09 +0200
> skrev Jon Otterholm <jon.otterholm at ide.resurscentrum.se>:
>
>
>> Hej.
>>
>> Anders Troback wrote:
>>
>>> Hej!
>>>
>>> Letar efter ett bra och säkert sätt att sniffa trafiken på utsidan
>>> på en brandvägg! Det som jag vill använda är Snort och skicka
>>> resultaten till Prelude-IDS som är inne på mitt LAN!
>>>
>>> Det som bekymrar mig är hur Snort ska komma åt insidan utan att
>>> behöva gå runt brandväggen. Snort skickar data, den hämtas inte av
>>> prelude-manager. Det jag tänkte lite på är om man låter en FreeBSD
>>> burk (kör mest FBSD) ha ett kort som lyssnar och sitter på utsidan
>>> ett som kort som prelude pratar med och sitter i LAN (eller kanske
>>> DMZ). Om man nu gör så så har jag ju byggt en väg runt min
>>> brandvägg! Skulle även vara bra om FBSD bara kunde lyssna utan att
>>> synas och inte ha en IP (ont om IP nr)?
>>>
>>> Hur hade ni gjort?
>>>
>>>
>> När jag satte upp det så gjorde jag en portspegling i en switch så
>> att all trafik till/från routerns interface speglades till en annan
>> port i switchen som sedan snort-burken lyssnar på. Fungerade bra och
>> man slipper ha routerns/firewallens interface i "promisc" vilket kan
>> ta lite på prestandan.
>>
>> //Jon
>>
>
> Hm, nu kommer dagens kanske dummaste fråga men hur lyssnar man utan att
> sätta en IP? :-]
>
>
>
Det löser snort åt dej. När du specar vilka IF som snort skall lyssna på
så kommer snort att sätta IF i "promiscuous mode" (i annat fall så
plockar drivaren bara upp trafik som skickats till maskinen eller
broadcast).
http://en.wikipedia.org/wiki/Promiscuous_mode
När du startat snort så ser du promisc-flaggan om du kör ifconfig.
//Jon
More information about the BUS
mailing list