Сохранение происхождения при использовании Snort с балансировкой нагрузки? Или почему это плохая идея?

486
Thoughtitious

Первоначально я развернул HAProxy, чтобы можно было заметить, что на мой веб-сервер поступает плохой трафик (а не тот, который скрывается TLS), но теперь я заметил довольно очевидную проблему: после прохождения loadbalancer он больше не ассоциируется с исходным IP.

Есть идеи, можно ли заставить Snort отслеживать проблемные пакеты через HAProxy? К вашему сведению, я сейчас использую Snort и HAProxy на одном сервере. Моя полная настройка обычно включает в себя скрипт вроде fail2ban, отсюда и желание идентифицировать эти удаленные хосты.

3
Я думал, что, хотя это может быть технически возможно, это может быть нежелательно, но в таком случае я бы приветствовал более общие советы по передовой практике. Хотя вы правы в том, что название не проясняет это. Отредактированное название, чтобы отразить это. Thoughtitious 9 лет назад 0
Ах, гораздо лучший вопрос. schroeder 9 лет назад 0

1 ответ на вопрос

2
StackzOfZtuff

I don't know about Snort but I know a bit about load balancers. So here's a few things that might be useful.

  • Move the Snort sensor to be before HAProxy.
  • Leave the sensor where it is but turn HAProxy into a transparent proxy. This requires the "usesrc clientip" directive.
  • Leave the sensor where it is but let HAProxy insert the "x-forwarded-for" header (if you're using HTTP) and then let Snort read that header by using the "enable_xff" directive

EDIT: Removed suggestions incompatible with TLS decryption. The remaining suggestion should work for HTTP (only HTTP). And only useful if you've got something that can decode the unified2 data (barnyard2, u2pewfoo) as that's what Snort will record the "True-Client-IP" into, there's no option to have it be logged as the origin. See URL below for further information.

https://snort.org/faq/readme-http_inspect

Спасибо, следующие мысли приходят на ум в связи с этими предложениями: а) это исключает преимущество возможности изучать дешифрованные пакеты, б) предположительно, это также нельзя использовать с расшифровкой, в) это звучит многообещающе, я буду Попытка осуществить это в ближайшее время. Thoughtitious 9 лет назад 0

Похожие вопросы