我已经通过 NFQUEUE 在本地(因为我可以走进隔壁房间并触摸它)网关上安装了 snort 并以内联模式运行。我的 中有以下规则/etc/snort/rules/snort.rules:
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; sid:2017590; rev:2; metadata:created_at 2013_10_13, updated_at 2013_10_13;)
此规则与在某些 DLink 路由器中发现的后门有关。我选择这个规则是因为它看起来很容易测试。规则本身是由来自新兴威胁的 pullpork 添加的,所以我认为规则语法是正确的。
为了进行测试,我在面向 Internet 的端口 80 上使用 lighttpd 配置了我的网关,并确认它可以访问。然后,在远程机器上,我运行了命令curl -A 'xmlset_roodkcableoj28840ybtide' 'http://<EXTERNAL_IP>'。这会立即将来自 lighttpd 的响应打印到控制台并退出。网关上不会生成 Snort 警报。
此外,netfilter 似乎只使用了我正在运行的四个 snort 进程中的两个。我可以看到这一点,htop因为 CPU 1 和 2 上的 snort 进程在使用 bittorrent 进行测试时会产生沉重的负载……但 CPU 0 和 3 上的 snort 进程仍然完全空闲。
我的测试方法是错误的吗?或者 snort …
什么是 IIS 的最佳 Web 应用程序防火墙 (WAF)?是什么让它比其他的更好?它在阻止针对编写不当的代码(也称为入侵防御系统 (IPS))的攻击方面有多大用处?
PCI-DSS 需要 WAF,所以如果我必须得到一个,那么它应该是最好的。
我们有安装了 IPS 模块的 Cisco ASA 5510 防火墙。
我们有一个客户,我们必须通过 VPN 连接到他们的网络才能通过 FTP 交换文件。我们在本地工作站上使用 Cisco VPN 客户端(版本 5.0.01.0600),这些工作站位于防火墙后面并受 IPS 的约束。
VPN 客户端成功连接到远程站点。然而,当我们开始 FTP 文件传输时,我们只能上传 150K 到 200K 的数据,然后一切都停止了。一分钟后,VPN 会话被丢弃。
我想通过使用以下命令暂时禁用 ASA 上的 IPS 服务策略,我已将此与 IPS 问题隔离:
访问列表 IPS 线路 1 扩展许可 ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 非活动
发出此命令后,我建立了到远程站点的 VPN,并成功传输了整个文件。
在仍然连接到 VPN 和 FTP 会话的同时,我发出了启用 IPS 的命令:
访问列表 IPS 线路 1 扩展许可 ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
再次尝试文件传输并再次成功,因此我关闭了 FTP 会话并重新打开它,同时保持相同的 VPN 会话打开。此文件传输也成功。这告诉我 FTP 程序没有被过滤或导致问题。此外,我们每天使用 FTP 与许多站点交换文件,没有问题。
然后,我断开了原始 VPN 会话的连接,该会话是在访问列表处于非活动状态时建立的,然后重新连接 VPN 会话,现在访问列表处于活动状态。开始 FTP 传输后,文件在 …
期待在几个 FreeBSD 防火墙上部署 IDS/IPS,我很好奇 snort 和 suricata 之间的区别。我知道 Suricata 是多线程的,但在规则处理和其他工作方式方面,是否有任何真正的区别应该让我选择另一个?
我有一台服务器在两个不同的 IP 上运行 apache 和 lighttpd。重新启动服务器后,我无法访问lighttpd上的内容:
/etc/init.d/lighttpd restart (network.c.379) 无法绑定到端口:80 地址已在使用中