Я пытаюсь создать собственную систему обнаружения и предотвращения вторжений (IDS / IPS). Я нашел отличную утилиту под названием ВЕРЕВКА который может сканировать полезную нагрузку пакета и отбрасывать пакет, который не соответствует правилам, установленным сценарием. Это полностью служит моей цели, так как я хочу проверить полезную нагрузку для определенного текста, а затем отбросить или разрешить (строковая функция в iptables не принесет мне никакой пользы, потому что я хочу проверить более одной строки в полезной нагрузке, такой как имена пользователей, идентификаторы и т. д.). Однако ROPE действительно старая, и, несмотря на мои многочисленные попытки, мне не удалось ее правильно установить.
Знаете ли вы какую-либо подобную программу, которая поможет мне сбрасывать пакеты в iptables в зависимости от полезной нагрузки?
Любое предложение приветствуется :)
Предупреждение: впереди длинный философский пост. TL; DR: взгляните еще раз на существующие решения которые доступны.
Я понимаю привлекательность развертывания нестандартного решения, и я не хочу говорить это бойко, но: если вы развертываете в производственной среде, разработка любой значимо сложной части инфраструктуры, для которой уже существуют разумные аналоги, является Плохая идея ™, особенно в сфере безопасности.
Выполнение действительно отличной работы по разработке системы обнаружения вторжений (или системы управления конфигурацией, или системы распространения пакетов, или языка сценариев высокого уровня) требует огромных вложений в знание предметной области. Если у вас есть эти знания, вы, вероятно, уже участвуете в одном из множество проектов там это заполняет конкретную нишу, которая вас интересует; если вы этого не сделаете, вы потратите много времени и усилий своего работодателя на разработку версии 1 собственного решения, которое не может не быть посредственным по сравнению со зрелыми решениями, поддерживаемыми сообществом, которые были дорабатывается в течение многих лет мотивированными специалистами.
Это естественная обязанность системных администраторов - взглянуть на проблему и немедленно приступить к разработке решения для нее в своей голове: мы, как правило, и творчески талантливы, и профессионально мотивированы, и мы любим исправлять проблемы, особенно большие мета-проблемы, которые обычно вдохновляют на такие амбиции. Уравнение затрат и выгод обычно не работает в пользу решения этих проблем с нуля, особенно когда вы, вероятно, можете получить более высокую отдачу от вложенных средств, внося свой вклад в хорошо управляемый существующий проект.
Извините за то, что так долго; Надеюсь, мне удалось внести что-то полезное в ваше рассмотрение этого вопроса.
Раньше я тестировал в своей домашней лаборатории snort и fwsnort, генерирующие правила iptables. Вы это смотрели?
@Tzoukos - из вашего вопроса вы на самом деле описываете не IDS или IPS, а брандмауэр для глубокой проверки.
Snort может абсолютно все, что вы описали, и, как уже упоминалось, имеет множество подписей, доступных бесплатно ... но если вы ищете другие варианты, не ограничивайте свой поиск только решениями IDS / IPS. Есть много решений во всех ценовых категориях, от бесплатных до невероятно дорогих :-)