укажите порядок IDS, Firewall, WAF
У меня есть система ubuntu, и я хочу реализовать iptables как брандмауэр, modsecurity как WAF и snort как IDS в этой системе, и у меня есть сервер за этой системой, и я хочу защитить сервер с помощью этой системы. Я хочу, чтобы, когда пакет получает первый iptables, обрабатывает его, а затем, если все в порядке, переходит к snort и snort, обрабатывает его, а затем передает этот пакет в modsecurity и modsecurity обрабатывает его. как я могу указать этот заказ? первый iptables, второй snort и последний modsecurity. что мне делать?
Snort и IPTables являются пакетами мониторинга на интерфейсе, поэтому они более или менее расположены рядом друг с другом. Modsecurity WAF находится на уровне веб-сервера после завершения обработки ОС, так что в любом случае он будет «последним».
Здесь они объясняют, как заставить IPTables помещать пакеты в очередь Snort, чтобы у вас был желаемый порядок:
http://seclists.org/snort/2014/q4/363
В этом примере IPTables DROP все, кроме порта 80, с которым Snort затем работает:
На этом этапе установка межсетевого экрана типа «черный список» может быть более подходящей. Если мы предположим, что правило NFQUEUE фактически является ACCEPT, рассмотрим ниже:
sudo / sbin / iptables -A INPUT -d IP.ADDRESS -p tcp --dport 0-79 -j DROP sudo / sbin / iptables -A ВВОД -d IP.АДРЕС -p tcp --dport 80 -j NFQUEUE - номер очереди 1 sudo / sbin / iptables -A INPUT -d IP.ADDRESS -p tcp --dport 81-65535 -j DROP