Portál AbcLinuxu, 20. dubna 2024 03:44


Dotaz: iptables, snort a port mirroring

5.1.2014 18:20 ivan
iptables, snort a port mirroring
Přečteno: 373×
Odpovědět | Admin
Schema zapojenia 
               
 internet +------------+     port1 +------------+ port2     +------------+
--------> |   router   | --------> |   switch   | --------> |   snort    |   
     eth3 +------------+ eth2      +------------+           +------------+
                                      | port3,4,5
                                      |
                                   klienti (1.2.3.4/24)
Router je do switcha zapojeny v porte 1.
Snort je do switcha zapojeny v porte 2.
Na switchi je nastaveny port mirroring: 1 -> 2 (vsetok traffic z 1 mirroruj na 2).

Snort obcas hlasi pokusy o spojenie na port 3306 na klientske stanice.
V iptables na routri som pridal pravidlo (jedna sa uplne o prve pravidlo vo FORWARD):
FORWARD -i eth3 -o eth2 -p tcp -d 1.2.3.4/24 --dport 3306 -j DROP

Napriek tomu pravidlo SNORT stale deteguje pokusy o pripojenie na port TCP 3306.
Zdrojom pokusov o pripojenie su rozne IP adresy zo sveta.

Prosim o "nakopnutie" k odhaleniu moznej chyby v tomto setupe.

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

6.1.2014 02:37 timeos | skóre: 32
Rozbalit Rozbalit vše Re: iptables, snort a port mirroring
Odpovědět | | Sbalit | Link | Blokovat | Admin
nuz asi vam neostane nic insie, len si tie pokusy o spojenia overit aj priamo na tom routri bud pomocou: taktiez by som z vasho pravidla vyhodil "-i eth3 -o eth2" a nehal tam len cielovu subnetu a port. a proste zacal pozorovat a porovnavat tie vysledky so snortom. na zaklade vysledkov by som zvolil dalsi postup.
Řešení 1× (timeos)
6.1.2014 08:14 Filip Jirsák
Rozbalit Rozbalit vše Re: iptables, snort a port mirroring
Odpovědět | | Sbalit | Link | Blokovat | Admin
Blokujete jen protokol TCP. Port 3306 se zpravidla používá pro připojení k MySQL a komunikace může být jak přes TCP tak přes UDP. Zablokujte tedy i protokol UDP na portu 3306. Tedy pokud vám ty pokusy o „spojení“ z nějakého důvodu vadí.
7.1.2014 19:18 ivan
Rozbalit Rozbalit vše Re: iptables, snort a port mirroring
Vyriesene.
Spojenia na port 3306 boli TCP aj UDP. A prave UDP som si nevsimol.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.