Forum Debian Users Gang

Sory za nazewnictwo z tylca, co producent do nazwa trybu :D

Ogółem temat jest głęboki i jest więcej do opisania niż chce mi się pisać ale może to rozjaśni trochę problem, ewentualnie dostarczysz jakiś szczegółów

IPS działa dwóch topologach:
- Inline: czyli pudełko(albo soft) skanujące jest wstawione po pomęczy hostami a złym internetem. Najczęściej utylizujemy najprzyjemniej 2 porty eth jako wejście i wyjście. Da się to zrobić na 1 porcie ale wymaga to kombinowania w zależności od rozwiązania.
Ruch wtedy jest fizycznie albo logicznie przepuszczany przez silnik skanujący co umożliwia skanowanie oraz blokowanie ruchu.

Przykładowo wariancie "fizycznym" masz kable wpięte na zasadzie

[provider]<->[ROUTER]<->[IPS]<->[hosty]

dodatkowo taka konfiguracja jest transparentna dla hosta, jego routing (brama) nie musi być modyfikowana (chociaż może). Sama czym pozycja IPS'a jest dość elastyczna, i może być on też przed routerem ale wtedy stracimy widoczność poszczególnych hostów jeśli nie mamy tam publicznych adresów(z uwagi na NAT),

W wariancie 'logicznym' topologia może być podobna, ale zaczynamy się bawić switchami i/lub vlanami i tak kierujemy ruchem aby logicznie był on przepuszczany przez IPS'a ALBO zaczynamy modyfikować routng.

Wskazujemy wtedy hostom nową bramę (IPS'a), który dostaje pakiety i puszcza je dalej (zasadniczo staje się routerem), przy czym należy tutaj zwrócić uwagę na możliwość asymetrycznego routingu, która jest często traktowana jako anomalię i wysypuje IPS'y (w defaulcie, bo można to zmienić) więc generalnie odradza się aby podczas rutowania pakietów  router, ips i hosty były w tej samej podsieci.



- TAP: pudełko leży sobie samopasem obok hostów w sieci i skanuje cały ruch, który wpada na interfejs sieciowy. Oczywiście z uwagi to jak działają switche nie zobaczy więcej niż broadcasty zatem nasz switch(albo router) musi obsługiwać port mirroring t.j. kopiowanie całego ruchu wej/wyj na inny interfejs. Wtedy IPS zobaczy wszystkie pakiety jakie śmigają przez kopiowany interfejs ALE nie będzie miał opcji blokowania, tylko monitorowanie.

Ostatnio edytowany przez urbinek (2019-04-23 15:01:53)

Jacekalex napisał(-a):

Logi snorta czy polecenia blokowania takiego IPSa mogą po sieci fruwać do routera bez większych problemów, wymaga to tylko dodatkowej konfiguracji.

No jasne, że mogą. Wymaga to dodatkowej konfiguracji, kompatybilnego sprzętu itp.

Opisałem tylko z grubsza jakie ma możliwości "out of box" :)

to który schemat instalacji masz? narysuj topologię

Gdzie jest IPS?
W jakim trybie pracuje?
Jak są skonfigurowane jego interfesy?
Jaki ruch chcesz skanować?
Jak kierujesz ten ruch w stronę IPS'a?

Tutaj mamy inny problem - absolutny brak wiedzy sieciowej :)

Nie rozum mnie źle, ale żeby bawić się IPS'em sieciowym musisz znać sieć w stopniu przynajmniej dobrym. DHCP i jeden routero-0switch tutaj nie pomoże. Brak wiedzy o interfejsach, routingu, adresie ip czy chociaż jak to sprawdzić będzie sporym utrudnieniem.


Ciężko będzie w takim razie Ci pomóc. To co mogę polecić to zacznij od dokumentacji, są tak przykłady implementacji, konfiguracji itp.

Przeglądałem na szybko dokumentację, prostszy będzie chyba Suricata - https://suricata.readthedocs.io/en/suricata-4.0.5/index.html

Snort z tego co pamiętam był bardziej bare-bones, ale dość fajnie ma też to opisane - http://manual-snort-org.s3-website-us-east-1.amazonaws.com/


Ogółem, w dużym skrócie - jeśli chcesz się pobawić to puszczanie ruchu z lapka przez IPS'a będzie problemem, zatem najlepszy wyjściem będzie jak:
- postawisz na proxmoxie router bazujący na pfSense
- konfigurujesz router tak aby udostępniał neta na jednym z wirtualnych interfejsów (routing, nat itp)
- ustawisz tak VMki aby ich sieć była w tym samym vlanie czy tam switchu wirtualnym (nie znam się na proxmox) co 'lan' routera
- doinstalujesz do pfSense suricata albo snort (są jakieś paczki i instrukcje, np https://elatov.github.io/2016/11/setup-suricata-on-pfsense )


Nauczysz się trochę podstaw sieci a jako bonus dostaniesz GUI do IPS;a

spayk napisał(-a):

[..]Może nie tyle, co brak wiedzy, ale [..]  drugiej strony jak piszesz o tym, co mam zrobić "w skrócie" to też stosujesz pojęcia sieciowe, których nie znam

Dlatego mówiłem o dobrej znajomości, bo to to są czyste podstawy.

spayk napisał(-a):

Hmm, wyglądałoby na to, że musiałbym mieć ISP -> IDSa -> router i dopiero reszta maszyn, ewentualnie ISP -> router ->  IDS -> reszta maszyn.

Z uwagi na to jak działa mechanizm NAT to w:
- wariancie 1 zobaczysz ruch pomiędzy internetem a twoim publicznym IP
- wariancie 2 zobaczysz ruch pomiędzy twoimi hostami wewnątrz sieci a internetem

Tyle, ze to wymaga fizycznego pudełka z IPS'em, tobie bym bardziej proponował ISP <-> Router <-> Proxmox <-> wirtualny router na pfSense <-> vm'ii do generowania ruchu

spayk napisał(-a):

Może zróbmy tak. Czy mógłbym prosić do tego, co wspomniałeś GUI? Wszystko sobie przeinstaluje i zobaczę jak to będzie wyglądać z tym, co mi tutaj podsunąłeś za pomysł. :)

Ale, że co? pfSense? wygugluj se, jest darmowy :P

urbinek napisał(-a):

Dlatego mówiłem o dobrej znajomości, bo to to są czyste podstawy.

To też się "źle wyraziłeś" :D Coś tam o sieci wiem, dlatego chciałbym po prostu zacząć używając komend :) No ok. Nie ma co drążyć dalej tematu.

urbinek napisał(-a):

Z uwagi na to jak działa mechanizm NAT to w:
- wariancie 1 zobaczysz ruch pomiędzy internetem a twoim publicznym IP
- wariancie 2 zobaczysz ruch pomiędzy twoimi hostami wewnątrz sieci a internetem

Tyle, ze to wymaga fizycznego pudełka z IPS'em, tobie bym bardziej proponował ISP <-> Router <-> Proxmox <-> wirtualny router na pfSense <-> vm'ii do generowania ruchu

2 opcja odpowiadałby mi najbardziej. Pudełko z IPSem da radę zrobić - w sensie jeśli potrzebny jest drugi router (dhcp'a na drugim routerze mogę wyłączyć) ze zmodyfikowanym jakimś softem. Twoja propozycja jest jak najbardziej też fajna. Czyli musiałbym maszynkę zmodyfikować na której stoi cały proxmox.

urbinek napisał(-a):

Ale, że co? pfSense? wygugluj se, jest darmowy :P

To, że darmowy jest to wiem. Wczoraj na "szybko" sprawdzałem akurat ;P Mówiłeś, że GUI dostanę "w prezencie" dlatego też o nie pytam :D

Jacekalex napisał(-a):

Na PfSensa to musi być solidna maszynka czy VMka, może lepiej byłoby na początek OpenWRT, ma znacznie skromniejsze wymagania sprzętowo/obliczeniowe, i bazuje na Linuxie, nie BSD, co dodatkowo ułatwia sprawę, zwłaszcza na wczesnym etapie eksperymentowania. ;)

Akurat tak się składa przyjacielu, że posiadam w zanadrzu drugi router, który aktualnie jest "zapasowy" (TP-Link TL-WR841N) i z tego, co patrzę OpenWRT jest na nim jak najbardziej wspierany. Może bym jego przeflashował na potrzeby testu? Myślę, że zdałoby to egzamin ^^. Jestem do Państwa dyspozycji ^^. Da się to zrobić :)

urbinek napisał(-a):

Ponownie, ihmo najlepszym rozwiązaniem będzie stworzenie wirtualny segment sieci i tam, w zamkniętym 'labie' sobie to po testować a dopiero potem zastanawiać sie nad wpięciem tego w 'produkcję'

Nie cytuję przyjacielu całości, bo nie ma sensu zaśmiecania forum. Tylko nie wiem do kogo pisałeś na początku tego posta, ponieważ cytowałeś siebie :P

Ja naprawdę się dostosuję i jestem w stanie poświęcić czasu na to :) Teraz się pojawia parę sugestii i już sam się gubię :P Mogę poświęcić ten router co mam "w zapasie" i przeflashować pod OpenWRT'a.
Jestem nawet w stanie to na "biedę" postawić i po prostu skonfigurować i poobserwować nawet jeśli to ma mulić/logi mają zapełniać miejsce - no problem - to tylko testy. Na fazę do "produkcji" będę musiał się poważnie zastanowić później dopiero po sprawdzeniu.
Więc urbinku, idziemy tym rozwiązaniem podanym prze Ciebie:
ISP <-> Router <-> Proxmox <-> wirtualny router na pfSense <-> vm'ii do generowania ruchu

czy według rozwiązania Jacka?
Pozdrawiam ^^

urbinek napisał(-a):

Pisałem do ciebie ;)

Tak pisałeś, że tu jakieś buziaczki etc :P

Ja wiem, że zależy ode mnie - skonfiguruje sobie wszystko etc, ale chciałbym "najłatwiejszą" drogę - czy jeśli wybiorę któryś wybór to czy dostanę tutaj porady "w miarę szybko" :P

rób rób ;)

Akurat tak się składa przyjacielu, że posiadam w zanadrzu drugi router, który aktualnie jest "zapasowy" (TP-Link TL-WR841N) i z tego, co patrzę OpenWRT jest na nim jak najbardziej wspierany. Może bym jego przeflashował na potrzeby testu? Myślę, że zdałoby to egzamin ^^. Jestem do Państwa dyspozycji ^^. Da się to zrobić :)

Z LUCI na tym gracie może być problem, ta mydelniczka ma wg wiki OpenWRT aż 4MB pamięci Flash.
https://openwrt.org/toh/tp-link/tl-wr841nd.

A to znacznie mniej niż mało.

Do zabawy lepiej kołować coś takiego, np mój jest z Allegro - 75+9 za paczkomat.

| Machine: NETGEAR WNDR4300                                                 |
 | Uptime: 1d, 22:25:56                                                      |
 | Load: 0.00 0.00 0.00                                                      |
 | Flash: total: 99.6MB, free: 73.5MB, used: 22%                             |
 | Memory: total: 122.1MB, free: 97.0MB, used: 20%   |

Oczywiście do OpenWRT trzeba  WNDR4300v1 ale nie WNDR4300v2.
Co innego od biedy uruchomić system, a co innego testować na nim rożne rzeczy jak np Snorta.

Rzuć okiem dokładniej na ten wątek, masz tu conieco o OpenWRT i sprzęcie:
http://eko.one.pl/forum/viewtopic.php?id=12006

Pozdro

Ostatnio edytowany przez Jacekalex (2019-04-30 15:34:18)

@jacekalex
Akurat przyglądałem się temu linkowi wcześniej, ale nie spojrzałem na pamięć flash <facepalm> :wink:
Ten drugi temat o liście routerów widziałem - przejrzę go jeszcze.
Dziękuję - myślę, że jestem skłonny zainwestować i się pobawić. Tego szrota TP-linka musiałbym przeflashować na soft od tplinka znów, żeby miał od biedy to gui chociaż.
Dziękuję raz jeszcze.

@urbinek
to nie jest tak, że na tym nie uruchomię - da radę, tylko problem jest taki, że podłączenie go jako zwykłego APka nie wykrywa go w sieci. (Wiem pewnie dlatego, że drugi DHCP jest włączony). Jestem w stanie to zrobić tylko z małą pomocą. Nikt tego nie powiedział. Akurat na Eko.one.pl dobrałem wersję bez WGUI, generic nie posiadał owego routera z WGUI, pewnie, że za mała ilość pamięci flash.