Herkunft beibehalten, wenn Snort mit einem Loadbalancer verwendet wird? Oder warum ist das eine schlechte Idee?

598
Thoughtitious

Ursprünglich habe ich HAProxy implementiert, sodass ein schlechter Datenverkehr auf meinem Webserver festgestellt werden kann (und nicht durch TLS verdeckt wird). Nun ist mir jedoch das offensichtliche Problem aufgefallen, dass der Loadbalancer nach dem Durchlauf nicht mehr verbunden ist mit der Ursprungs-IP.

Irgendwelche Ideen, ob es möglich ist, dass Snort Problempakete durch HAProxy verfolgt? Zu Ihrer Information, ich verwende derzeit Snort und HAProxy auf demselben Server. Mein komplettes Setup enthält normalerweise ein Skript wie fail2ban, daher der Wunsch, diese entfernten Hosts zu identifizieren.

3
Meiner Meinung nach war dies zwar technisch möglich, aber nicht wünschenswert. In einem solchen Fall würde ich allgemeinere Ratschläge zu bewährten Verfahren begrüßen. Sie haben zwar Recht, dass der Titel dies nicht deutlich macht. Titel wurde bearbeitet, um dies wiederzugeben. Thoughtitious vor 9 Jahren 0
Ah - viel bessere Frage. schroeder vor 9 Jahren 0

1 Antwort auf die Frage

2
StackzOfZtuff

Ich weiß nicht über Snort Bescheid, aber ich weiß etwas über Lastverteiler. Hier sind ein paar Dinge, die nützlich sein könnten.

  • Bewegen Sie den Snort-Sensor so, dass er sich vor HAProxy befindet.
  • Lassen Sie den Sensor, wo er ist, aber verwandeln Sie HAProxy in einen transparenten Proxy. Dies erfordert die Direktive "usesrc clientip".
  • Lassen Sie den Sensor dort, wo er ist, aber lassen Sie HAProxy den Header "x-forwarded-for" einfügen (wenn Sie HTTP verwenden), und lassen Sie diesen Header mithilfe der Direktive "enable_xff" von Snort lesen

BEARBEITEN: Vorschläge entfernt, die mit der TLS-Entschlüsselung nicht kompatibel sind. Der verbleibende Vorschlag sollte für HTTP (nur HTTP) funktionieren. Und nur nützlich, wenn Sie etwas haben, das die unified2-Daten entschlüsseln kann (barnyard2, u2pewfoo), da Snort die "True-Client-IP" aufzeichnet, es gibt keine Option, sie als Ursprung protokollieren zu lassen. Siehe URL unten für weitere Informationen.

https://snort.org/faq/readme-http_inspect

Vielen Dank, die folgenden Gedanken kommen für diese Vorschläge in den Sinn: a) Dadurch wird der Vorteil beseitigt, die entschlüsselten Pakete studieren zu können. B) Vermutlich kann dies auch nicht für die Entschlüsselung verwendet werden. C) Das klingt vielversprechend Versuchen Sie es bald umzusetzen. Thoughtitious vor 9 Jahren 0

Verwandte Probleme