Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2019-04-23 13:21:15

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Proxmox+router+system ids

Witam szanownych userów forum.
Otóż mam następujący problem, do którego przechodzę.
Postawiłem u siebie "małą serwerownie", aby móc przetestować systemy IDS, które są open source'owe. Posiadam tak:
a)Komputer A  - Windows (moje główne miejsce pracy)
b)Komputer B - debian z proxmoxem (tutaj proxmox i inne wirtualki)
c)Router (cała sieć domowa)
d) i tutaj chciałbym system IDS wcisnąć.
Teraz tak.
PC A jest PC z którego korzystam codziennie oraz jest puszczony po DHCP.
PC B jest to moja mała serwerowa maszyna, która jest puszczona "z łapy" i ma swoją pule adresów od 192.168.0.149 do 192.168.0.140. Wszystkie maszyny się w sieci widzą i pingują.
Router (192.168.0.1 jest bramą)
IDS - Problem jest tutaj, gdyż używając takich narzędzi jak:
-Snort,
-OSSEC,
-Suricata
-SecurityOnion (na tym chciałbym się skupić)
część albo nie działa albo po prostu przy "dopięciu" innej maszyny do swojego configu pokazuje nie tą maszynę, która ma być docelowo "chroniona".
Obecnie jestem przy SecurityOnionie, który postawiłem po DHCP na PC A (za pomocą virtualboxa) i przy używaniu narzędzia Sguil pokazuje mi wszędzie adresy IP na 0.0.0.0 i pingując w ogóle nie mam jakichkolwiek odpowiedzi. Jeśli ustawię SecurityOnion na IP "z łapy" (statyczne) to w ogóle mi nie pinguje ani nie widzi tej maszyny w sieci. Ustawiając ja po DHCP jest widoczna, ale tak czy inaczej jakikolwiek testy nie są wyłapywane i nie wiem, co się dzieje. Pytanie. Czy na routerze gdzieś jest blokada tej maszyny i firewall routerowy filtruje wszystko? Czy gdzieś na samej maszynie z SecurityOnionem? Czy w ogóle robię coś nie tak?
Dziękuję za zainteresowanie.
W razie pytań jestem do dyspozycji i będę odpowiadał w miarę szczegółowo.

Offline

 

#2  2019-04-23 15:01:24

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

Sory za nazewnictwo z tylca, co producent do nazwa trybu :D

Ogółem temat jest głęboki i jest więcej do opisania niż chce mi się pisać ale może to rozjaśni trochę problem, ewentualnie dostarczysz jakiś szczegółów

IPS działa dwóch topologach:
- Inline: czyli pudełko(albo soft) skanujące jest wstawione po pomęczy hostami a złym internetem. Najczęściej utylizujemy najprzyjemniej 2 porty eth jako wejście i wyjście. Da się to zrobić na 1 porcie ale wymaga to kombinowania w zależności od rozwiązania.
Ruch wtedy jest fizycznie albo logicznie przepuszczany przez silnik skanujący co umożliwia skanowanie oraz blokowanie ruchu.

Przykładowo wariancie "fizycznym" masz kable wpięte na zasadzie

Kod:

[provider]<->[ROUTER]<->[IPS]<->[hosty]

dodatkowo taka konfiguracja jest transparentna dla hosta, jego routing (brama) nie musi być modyfikowana (chociaż może). Sama czym pozycja IPS'a jest dość elastyczna, i może być on też przed routerem ale wtedy stracimy widoczność poszczególnych hostów jeśli nie mamy tam publicznych adresów(z uwagi na NAT),

W wariancie 'logicznym' topologia może być podobna, ale zaczynamy się bawić switchami i/lub vlanami i tak kierujemy ruchem aby logicznie był on przepuszczany przez IPS'a ALBO zaczynamy modyfikować routng.

Wskazujemy wtedy hostom nową bramę (IPS'a), który dostaje pakiety i puszcza je dalej (zasadniczo staje się routerem), przy czym należy tutaj zwrócić uwagę na możliwość asymetrycznego routingu, która jest często traktowana jako anomalię i wysypuje IPS'y (w defaulcie, bo można to zmienić) więc generalnie odradza się aby podczas rutowania pakietów  router, ips i hosty były w tej samej podsieci.



- TAP: pudełko leży sobie samopasem obok hostów w sieci i skanuje cały ruch, który wpada na interfejs sieciowy. Oczywiście z uwagi to jak działają switche nie zobaczy więcej niż broadcasty zatem nasz switch(albo router) musi obsługiwać port mirroring t.j. kopiowanie całego ruchu wej/wyj na inny interfejs. Wtedy IPS zobaczy wszystkie pakiety jakie śmigają przez kopiowany interfejs ALE nie będzie miał opcji blokowania, tylko monitorowanie.

Ostatnio edytowany przez urbinek (2019-04-23 15:01:53)


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#3  2019-04-23 18:37:43

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Proxmox+router+system ids

Wtedy IPS zobaczy wszystkie pakiety jakie śmigają przez kopiowany interfejs ALE nie będzie miał opcji blokowania, tylko monitorowanie.

To nie jest takie oczywiste, właśnie na takie okazje powstały snortsam
i guardian.pl.

Logi snorta czy polecenia blokowania takiego IPSa mogą po sieci fruwać do routera bez większych problemów, wymaga to tylko dodatkowej konfiguracji.

Ostatnio edytowany przez Jacekalex (2019-04-23 18:39:53)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2019-04-23 20:37:41

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

Jacekalex napisał(-a):

Logi snorta czy polecenia blokowania takiego IPSa mogą po sieci fruwać do routera bez większych problemów, wymaga to tylko dodatkowej konfiguracji.

No jasne, że mogą. Wymaga to dodatkowej konfiguracji, kompatybilnego sprzętu itp.

Opisałem tylko z grubsza jakie ma możliwości "out of box" :)


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#5  2019-04-23 20:46:57

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

urbinek napisał(-a):

Opisałem tylko z grubsza jakie ma możliwości "out of box" :)

Po to jestem na forum, aby rozwiązać albo chociaż postarać się dobrać "dobrą" konfigurację na miarę mojego sprzętu i potestowania tego. :)

Jacekalex napisał(-a):

Logi snorta czy polecenia blokowania takiego IPSa mogą po sieci fruwać do routera bez większych problemów, wymaga to tylko dodatkowej konfiguracji.

Właśnie tutaj przybyłem, bo ja już sam nie mam pojęcia, co mam robić i gdzie są błędy, dlatego napisałem w celu "zobrazowania" jak wygląda to u mnie. Google'owałem tyle godzin i tyle przerabiałem wpisów, że głowa mała, ale zawsze było to, "ale" przysłowiowe. Jeśli jakieś pytania są lub potrzeba coś z maszyny na której IDS jest postawiony to odpowiem jak najbardziej.

Ostatnio edytowany przez spayk (2019-04-23 20:47:36)

Offline

 

#6  2019-04-23 23:06:31

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

to który schemat instalacji masz? narysuj topologię


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#7  2019-04-24 12:21:29

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

urbinek napisał(-a):

to który schemat instalacji masz? narysuj topologię

Prosta "topologia" sieci - domowa
https://image.frl/i/1x8tynk5e4vmtq4p.png

Offline

 

#8  2019-04-24 12:48:06

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

Gdzie jest IPS?
W jakim trybie pracuje?
Jak są skonfigurowane jego interfesy?
Jaki ruch chcesz skanować?
Jak kierujesz ten ruch w stronę IPS'a?


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#9  2019-04-24 13:57:51

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

urbinek napisał(-a):

Gdzie jest IPS?

Ipsa stawiałem i na maszynie proxmoxowej oraz na laptopie roboczym.

urbinek napisał(-a):

W jakim trybie pracuje?

W jakim trybie IPS? Ciężko odpowiedzieć na to pytanie, gdyż tak jak pisałem w SecurityOnionie świeżo po instalacji oraz konfiguracji sieci adresy IP miałem równe 0.0.0.0 i nie generował żadnych logów nawet pingując go.

urbinek napisał(-a):

Jak są skonfigurowane jego interfesy?

Również ciężko odpowiedzieć, ponieważ na to pytanie nie mogłem znaleźć odpowiedzi. Dlatego kieruję też się tutaj jak mógłbym zdiagnozować, co jest źle i czemu ewentualnie ruch nie idzie w 1 i 2 stronę.

urbinek napisał(-a):

Jaki ruch chcesz skanować?

Wszystko, co możliwe z zagrożeniem z zewnątrz. Chciałbym wystawić maszynę windowsa i po prostu sprawdzać sobie, generować i w wolnej chwili przeglądać, co jest na tą maszynę robione.

urbinek napisał(-a):

Jak kierujesz ten ruch w stronę IPS'a?

Ciężko również na to odpowiedzieć, ale jeśli miałbym być bardziej precyzyjniejszy to w pliku konfiguracyjnym wpisywałem ip danej maszyny. Po zapisie i resecie aplikacji na linuxie z laptopa roboczego puszczałem ping i patrzyłem, co się działo na IPSowej maszynie. Dlatego szukam czegoś z GUI, aby móc na razie sobie to tak skonfigurować i potestować, ale z darmowych rozwiązań ciężko widzę jest.

Offline

 

#10  2019-04-24 17:04:02

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

Tutaj mamy inny problem - absolutny brak wiedzy sieciowej :)

Nie rozum mnie źle, ale żeby bawić się IPS'em sieciowym musisz znać sieć w stopniu przynajmniej dobrym. DHCP i jeden routero-0switch tutaj nie pomoże. Brak wiedzy o interfejsach, routingu, adresie ip czy chociaż jak to sprawdzić będzie sporym utrudnieniem.


Ciężko będzie w takim razie Ci pomóc. To co mogę polecić to zacznij od dokumentacji, są tak przykłady implementacji, konfiguracji itp.

Przeglądałem na szybko dokumentację, prostszy będzie chyba Suricata - https://suricata.readthedocs.io/en/suricata-4.0.5/index.html

Snort z tego co pamiętam był bardziej bare-bones, ale dość fajnie ma też to opisane - http://manual-snort-org.s3-website-us-east-1.amazonaws.com/


Ogółem, w dużym skrócie - jeśli chcesz się pobawić to puszczanie ruchu z lapka przez IPS'a będzie problemem, zatem najlepszy wyjściem będzie jak:
- postawisz na proxmoxie router bazujący na pfSense
- konfigurujesz router tak aby udostępniał neta na jednym z wirtualnych interfejsów (routing, nat itp)
- ustawisz tak VMki aby ich sieć była w tym samym vlanie czy tam switchu wirtualnym (nie znam się na proxmox) co 'lan' routera
- doinstalujesz do pfSense suricata albo snort (są jakieś paczki i instrukcje, np https://elatov.github.io/2016/11/setup-suricata-on-pfsense )


Nauczysz się trochę podstaw sieci a jako bonus dostaniesz GUI do IPS;a


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#11  2019-04-24 19:13:30

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

urbinek napisał(-a):

Tutaj mamy inny problem - absolutny brak wiedzy sieciowej :)

Nie będę wszystkiego rozpisywał i się ustosunkowywał :P Może nie tyle, co brak wiedzy, ale łatwiej byłoby mi po prostu z danej maszyny odpalić komendę i na tym operować - też nie zrozum mnie źle ;) Chociaż z drugiej strony jak piszesz o tym, co mam zrobić "w skrócie" to też stosujesz pojęcia sieciowe, których nie znam, więc to tak troszkę się wyklucza skoro nie znam pojęć sieciowych ;P

Hmm, wyglądałoby na to, że musiałbym mieć ISP -> IDSa -> router i dopiero reszta maszyn, ewentualnie ISP -> router ->  IDS -> reszta maszyn.
Może zróbmy tak. Czy mógłbym prosić do tego, co wspomniałeś GUI? Wszystko sobie przeinstaluje i zobaczę jak to będzie wyglądać z tym, co mi tutaj podsunąłeś za pomysł. :)

Offline

 

#12  2019-04-24 19:44:34

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

spayk napisał(-a):

[..]Może nie tyle, co brak wiedzy, ale [..]  drugiej strony jak piszesz o tym, co mam zrobić "w skrócie" to też stosujesz pojęcia sieciowe, których nie znam

Dlatego mówiłem o dobrej znajomości, bo to to są czyste podstawy.


spayk napisał(-a):

Hmm, wyglądałoby na to, że musiałbym mieć ISP -> IDSa -> router i dopiero reszta maszyn, ewentualnie ISP -> router ->  IDS -> reszta maszyn.

Z uwagi na to jak działa mechanizm NAT to w:
- wariancie 1 zobaczysz ruch pomiędzy internetem a twoim publicznym IP
- wariancie 2 zobaczysz ruch pomiędzy twoimi hostami wewnątrz sieci a internetem

Tyle, ze to wymaga fizycznego pudełka z IPS'em, tobie bym bardziej proponował ISP <-> Router <-> Proxmox <-> wirtualny router na pfSense <-> vm'ii do generowania ruchu

spayk napisał(-a):

Może zróbmy tak. Czy mógłbym prosić do tego, co wspomniałeś GUI? Wszystko sobie przeinstaluje i zobaczę jak to będzie wyglądać z tym, co mi tutaj podsunąłeś za pomysł. :)

Ale, że co? pfSense? wygugluj se, jest darmowy :P


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#13  2019-04-25 01:39:40

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Proxmox+router+system ids

Na PfSensa to musi być solidna maszynka czy VMka, może lepiej byłoby na początek OpenWRT, ma znacznie skromniejsze wymagania sprzętowo/obliczeniowe, i bazuje na Linuxie, nie BSD, co dodatkowo ułatwia sprawę, zwłaszcza na wczesnym etapie eksperymentowania. ;)

https://openwrt.org/docs/guide-user/services/snort

Zwłaszcza, że jeśli ten D-link ma troszkę miejsca w brzuchu, albo się tam wsadzi zamiast niego np Netgeara WNDR4300 (który ma po 128MB ram i flash), to można się IPSem bawić na routerze.
Lista "supported devices" w OpenWRT jest dosyć długaśna. xD

Przykład taniego (allegro - 75 + 8,99 zł ) routerka z OpenWRT:

Kod:

 -----------------------------------------------------------------------------
 |                                                                           |
 | OpenWrt 18.06-SNAPSHOT, r7714-4918fe0291                                  |
 |                                                                           |
 | Build time: 2019-03-11 09:46 CET                                          |
 | Cezary Jackiewicz (obsy), http://eko.one.pl                               |
 |                                                                           |
 -----------------------------------------------------------------------------
 | Machine: NETGEAR WNDR4300                                                 |
 | Uptime: 13d, 09:11:38                                                     |
 | Load: 0.08 0.02 0.01                                                      |
 | Flash: total: 99.6MB, free: 73.5MB, used: 22%                             |
 | Memory: total: 122.1MB, free: 103.8MB, used: 14%                          |
 | WAN: 85.183.211.131, proto: dhcp                                           |
 | LAN: 192.168.1.1, leases: 0                                               |
 | radio1: mode: ap, ssid: netgear5, channel: 48, conn: 0                     |
 -----------------------------------------------------------------------------

Ostatnio edytowany przez Jacekalex (2019-04-25 02:30:37)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#14  2019-04-25 13:08:32

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

urbinek napisał(-a):

Dlatego mówiłem o dobrej znajomości, bo to to są czyste podstawy.

To też się "źle wyraziłeś" :D Coś tam o sieci wiem, dlatego chciałbym po prostu zacząć używając komend :) No ok. Nie ma co drążyć dalej tematu.


urbinek napisał(-a):

Z uwagi na to jak działa mechanizm NAT to w:
- wariancie 1 zobaczysz ruch pomiędzy internetem a twoim publicznym IP
- wariancie 2 zobaczysz ruch pomiędzy twoimi hostami wewnątrz sieci a internetem

Tyle, ze to wymaga fizycznego pudełka z IPS'em, tobie bym bardziej proponował ISP <-> Router <-> Proxmox <-> wirtualny router na pfSense <-> vm'ii do generowania ruchu

2 opcja odpowiadałby mi najbardziej. Pudełko z IPSem da radę zrobić - w sensie jeśli potrzebny jest drugi router (dhcp'a na drugim routerze mogę wyłączyć) ze zmodyfikowanym jakimś softem. Twoja propozycja jest jak najbardziej też fajna. Czyli musiałbym maszynkę zmodyfikować na której stoi cały proxmox.

urbinek napisał(-a):

Ale, że co? pfSense? wygugluj se, jest darmowy :P

To, że darmowy jest to wiem. Wczoraj na "szybko" sprawdzałem akurat ;P Mówiłeś, że GUI dostanę "w prezencie" dlatego też o nie pytam :D


Jacekalex napisał(-a):

Na PfSensa to musi być solidna maszynka czy VMka, może lepiej byłoby na początek OpenWRT, ma znacznie skromniejsze wymagania sprzętowo/obliczeniowe, i bazuje na Linuxie, nie BSD, co dodatkowo ułatwia sprawę, zwłaszcza na wczesnym etapie eksperymentowania. ;)

Akurat tak się składa przyjacielu, że posiadam w zanadrzu drugi router, który aktualnie jest "zapasowy" (TP-Link TL-WR841N) i z tego, co patrzę OpenWRT jest na nim jak najbardziej wspierany. Może bym jego przeflashował na potrzeby testu? Myślę, że zdałoby to egzamin ^^. Jestem do Państwa dyspozycji ^^. Da się to zrobić :)

Offline

 

#15  2019-04-25 13:52:40

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

Czy ja wiem :) ?

urbinek napisał(-a):

Nie rozum mnie źle, ale żeby bawić się IPS'em sieciowym musisz znać sieć w stopniu przynajmniej dobrym. DHCP i jeden routero-0switch tutaj nie pomoże.

Tak, dobry to pojęcie względne, ale

urbinek napisał(-a):

Brak wiedzy o interfejsach, routingu, adresie ip czy chociaż jak to sprawdzić będzie sporym utrudnieniem.

:*


Jacekalex napisał(-a):

Na PfSensa to musi być solidna maszynka czy VMka, może lepiej byłoby na początek OpenWRT, ma znacznie skromniejsze wymagania sprzętowo/obliczeniowe, i bazuje na Linuxie, nie BSD, co dodatkowo ułatwia sprawę, zwłaszcza na wczesnym etapie eksperymentowania. ;)

Wymagania nie są takie straszne:

https://docs.netgate.com/pfsense/en/latest/book/hardware/minimum-hardware-requirements.html napisał(-a):

CPU 600 MHz or faster
RAM 512 MB or more
4 GB or larger disk drive (SSD, HDD, etc)
One or more compatible network interface cards
Bootable USB drive or CD/DVD-ROM for initial installation

Na biedę uruchomisz takiego pfSense na jakimś dlinku czy tplinku, przy czym IPS'a na routerze klasy SOHO to taktyczny strzał w kolano. JEŚLI cpu wyrobi się z przetwarzaniem pakietów i będziesz miał wystarczająco ramu aby pomieścić wszystkie informację to logi zarżną ci dysk.

Nie bez powodu komercyjne IPS'u używają dedykowanych ASIC'ów albo OS'ób dedykowanych pod to konkretne zadanie. Analiza IPS pochłania ogromne zasoby sprzętowe i jakoś nie widzę aby arm z 600Mhz procliem dał radę to sensownie obsłużyć.

W sensie jeśli są dedykowane paczki i jakieś instrukcje w necie to pewnie da się to zrobić, ale przygotuj się na rożne problemy (w zależności od ruchu i polityk oczywiście) takie jak np.: internet w prędkościach modemowych :D



Ponownie, ihmo najlepszym rozwiązaniem będzie stworzenie wirtualny segment sieci i tam, w zamkniętym 'labie' sobie to po testować a dopiero potem zastanawiać sie nad wpięciem tego w 'produkcję'

Ostatnio edytowany przez urbinek (2019-04-25 13:54:19)


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#16  2019-04-25 14:56:53

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

urbinek napisał(-a):

Ponownie, ihmo najlepszym rozwiązaniem będzie stworzenie wirtualny segment sieci i tam, w zamkniętym 'labie' sobie to po testować a dopiero potem zastanawiać sie nad wpięciem tego w 'produkcję'

Nie cytuję przyjacielu całości, bo nie ma sensu zaśmiecania forum. Tylko nie wiem do kogo pisałeś na początku tego posta, ponieważ cytowałeś siebie :P

Ja naprawdę się dostosuję i jestem w stanie poświęcić czasu na to :) Teraz się pojawia parę sugestii i już sam się gubię :P Mogę poświęcić ten router co mam "w zapasie" i przeflashować pod OpenWRT'a.
Jestem nawet w stanie to na "biedę" postawić i po prostu skonfigurować i poobserwować nawet jeśli to ma mulić/logi mają zapełniać miejsce - no problem - to tylko testy. Na fazę do "produkcji" będę musiał się poważnie zastanowić później dopiero po sprawdzeniu.
Więc urbinku, idziemy tym rozwiązaniem podanym prze Ciebie:
ISP <-> Router <-> Proxmox <-> wirtualny router na pfSense <-> vm'ii do generowania ruchu

czy według rozwiązania Jacka?
Pozdrawiam ^^

Offline

 

#17  2019-04-25 17:27:41

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

Pisałem do ciebie ;)

A to co zrobisz zależy już od tego co chcesz osiągnąć itp.

Gotowców (innych niż dokumentacja) ci nie podrzucę, bo nigdy nie stawiałem tego w domu. Moje doświadczenie to raczej komercyjne ips bazujące na autorskich silnikach i suplementowe snortem

ale ihmo, najszybsza i elastyczniejsza opcja do testów to wirtualka


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#18  2019-04-25 19:07:47

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

urbinek napisał(-a):

Pisałem do ciebie ;)

Tak pisałeś, że tu jakieś buziaczki etc :P

Ja wiem, że zależy ode mnie - skonfiguruje sobie wszystko etc, ale chciałbym "najłatwiejszą" drogę - czy jeśli wybiorę któryś wybór to czy dostanę tutaj porady "w miarę szybko" :P

Offline

 

#19  2019-04-29 18:44:41

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

Postawiłem na tp-linku WR841N openwrt'a, teraz muszę poczytać o configu. Będę chciał zrobić coś takiego:
ISP <=> router <=> IDS <=> proxmox (wirtualki) <=> Moja maszyna robocza.
Da radę coś takiego?
@urbinek
@Jacekalex
Chce się "pobawić" i wyciągnąć jak najwięcej doświadczenia. To, co jest tutaj napisane przez Was jest święta i posty będę sobie zapisywać.
Dziękuję.

Offline

 

#20  2019-04-29 22:53:26

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

rób rób ;)


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#21  2019-04-30 12:28:00

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

urbinek napisał(-a):

rób rób ;)

Robie, tylko jak mam połączone to w sieci, żeby GUI (LuCi) doinstalować to mi w ogóle tego nie widzi :( Podejrzewam, że będę musiał DHCP np. z tego poradnika wyłączyć?
https://openwrt.org/docs/guide-user/network/wifi/dumbap
Pytam, bo aż tak daleko nie zabrnąłem jeszcze.

Offline

 

#22  2019-04-30 14:54:35

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Proxmox+router+system ids

Akurat tak się składa przyjacielu, że posiadam w zanadrzu drugi router, który aktualnie jest "zapasowy" (TP-Link TL-WR841N) i z tego, co patrzę OpenWRT jest na nim jak najbardziej wspierany. Może bym jego przeflashował na potrzeby testu? Myślę, że zdałoby to egzamin ^^. Jestem do Państwa dyspozycji ^^. Da się to zrobić :)

Z LUCI na tym gracie może być problem, ta mydelniczka ma wg wiki OpenWRT aż 4MB pamięci Flash.
https://openwrt.org/toh/tp-link/tl-wr841nd.

A to znacznie mniej niż mało.

Do zabawy lepiej kołować coś takiego, np mój jest z Allegro - 75+9 za paczkomat.

Kod:

| Machine: NETGEAR WNDR4300                                                 |
 | Uptime: 1d, 22:25:56                                                      |
 | Load: 0.00 0.00 0.00                                                      |
 | Flash: total: 99.6MB, free: 73.5MB, used: 22%                             |
 | Memory: total: 122.1MB, free: 97.0MB, used: 20%   |

Oczywiście do OpenWRT trzeba  WNDR4300v1 ale nie WNDR4300v2.
Co innego od biedy uruchomić system, a co innego testować na nim rożne rzeczy jak np Snorta.

Rzuć okiem dokładniej na ten wątek, masz tu conieco o OpenWRT i sprzęcie:
http://eko.one.pl/forum/viewtopic.php?id=12006

Pozdro

Ostatnio edytowany przez Jacekalex (2019-04-30 15:34:18)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#23  2019-04-30 18:27:53

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

Jak nie uruchomisz na tym WebUI to z IPS'em daleko nie zajedziesz :D


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#24  2019-04-30 19:38:03

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

@jacekalex
Akurat przyglądałem się temu linkowi wcześniej, ale nie spojrzałem na pamięć flash <facepalm> :wink:
Ten drugi temat o liście routerów widziałem - przejrzę go jeszcze.
Dziękuję - myślę, że jestem skłonny zainwestować i się pobawić. Tego szrota TP-linka musiałbym przeflashować na soft od tplinka znów, żeby miał od biedy to gui chociaż.
Dziękuję raz jeszcze.

@urbinek
to nie jest tak, że na tym nie uruchomię - da radę, tylko problem jest taki, że podłączenie go jako zwykłego APka nie wykrywa go w sieci. (Wiem pewnie dlatego, że drugi DHCP jest włączony). Jestem w stanie to zrobić tylko z małą pomocą. Nikt tego nie powiedział. Akurat na Eko.one.pl dobrałem wersję bez WGUI, generic nie posiadał owego routera z WGUI, pewnie, że za mała ilość pamięci flash.

Offline

 

#25  2019-04-30 20:34:00

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

spayk napisał(-a):

to nie jest tak, że na tym nie uruchomię - da radę

Suricata System Requirements napisał(-a):

Minimum 4 GB RAM and multicore CPU for better performance.

:)


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)