Desenho de Rede com Snort: Qual o melhor modelo ???

Olá pessoal,
Estou inicando um projeto para instalação do snort aqui na empresa, logo gostaria de discutir com vocês algumas questões:
LI que em um IDS existem os sensores, as bases de dados (guardam os logs), máquina de reação e máquina de análise.

- A entrada da minha rede, hoje é por um ccto dedicado da telemar. Ele é ligado em uma máquina com duas placas de rede e o iptables roteado as interfaces.
Posso instalar o sensor e a máquina de reação nessa máquina ???
- Vamos adicionar um links adsl de 1mb da telemar para faze VPN com nossos outros pontos, estou pensando em adicionar mais uma placa de rede na máquina acima para receber esse link.
O que acham ???
- Se eu quiser criar uma DMZ , eu posso adicioanr mais uma placa de rede no servidor e ligá-la a ela ???

A máquina de análise e de banco de dados fica dentro de minha rede.

O que acham ???

A maquina de banco de dados, pode ficar do lado de dentro da sua rede ou da sua DMZ sem problemas o que deve ser levado em conta é o trafego que sera gerado entre o seu IDS o BD, eu considero uma boa tatica deixa 1 banco de dados local mysql e fazer o dump dele de tempos em tempos a cada 1 hora com o diferencia e mandar para 1 maquina interna.

Com relação a maquina que toma a providencia de bloquear, ja vi implementações de snort em pontes feitas em linux onde literalmente não ha o que atacar nessa ponte nao existe ip os pacotes somente passam por ela e nessa sim é possivel implementar o filtro de pacotes (iptables ipf pf ) para dropar conexoes que foram pegas no (IDS).

Se eu deixar o BD na máquina local e enviá-lo a cada hora para o meu servidor interno, eu não terei os dados online !!!!

Como é essa implementação de ponte, sem IP ???

funciona assim:

entre o seu router,cable modem, fica 1 maquina com 2 placas de rede eth0,eth1 com suporte a forward ativo.

para construir a ponte http://www.htmlstaff.org/guiafoca/av...ch-cfgrede.htm

DEPOIS disso voce pode deixar 1 script em php perl rodando consultando o banco de dados ou voce pode deixar a maquina que detecta os pacotes enviando comando remotos na brigth iptables -I FORWARD -s ip_bloqueado -DROP
("rexec").
Voce tem 1 maquina que bloqueia os pacotes porem ela nao tem ip ela somente avalia se o pacote que ta passando pode passar.

A ponte funcionaria com um "fio inteligente", que determina o que pode e o que não pode passar, e ficaria entre o router e a maquina de entrada da tua rede.

Poderia te dar uma idéia de uma 3st placa de rede na bridge, essa sim, com um ip inválido, permitindo o acesso somente da rede interna, uma rede separada, somente para a consulta dos logs e tal, mas não sei se é recomendável....

Prossigamos a discussão

:good:

Fio inteligente voce foi magnifico nessa colocação nota 10 !


Fred vamos fazer assim:

maquina 1:
3 placas de rede e onde vai ficar todos as regras de iptables com as filtragens do ips e portas. rodando o software recall.php
esse recall.php vai carregar do banco de dados todas os ips pegos pelo snort.
1ª eth0 + eth1 = br0
2ª eth2 = cross para placa eth3 na maquina 2 COMUNICACAO snort 10.0.254.1/255.255.255.254 eth3


maquina 2: 4 placas de rede

1ª placa ---- ip quente (vem direto da bright) eth0
2ª placa ---- DMZ 1.0.0.1/255.255.255.240 eth1
3ª placa ---- REDE LOCAL 192.168.1.0/255.255.255.0 eth2
4º placa ---- COMUNICACAO COM A BRIGHT 10.0.254.2/255.255.255.254 eth3

Retorne se entendeu até aqui !

Otima ideia RMars

Você poderia me mandar o script recall.php ??
[email protected]

Grato.

Viva colega, aqui na empresa eu tenho o seguinte esquema, temos um firewall OpenBSD ligado ao link da Internet, seguido do firewall, tenho uma maquina com Linux + Iptables a funcar como bridge (ponte), nessa maquina eu instalei o snort tb, ela n tem IP, todos os pakotes passam por ela, e lá fica tudo logado :) assim mesmo que um dia toda a minha rede seja comprometida, esta maquina nc poderá ser comprometida pois na verdade a unica maneira de a comprometer é mesmo fisicamente, o que tb se torna dificil, além desta maquina, uns tempos depois coloquei tb um velho servidor web, onde reinstalei tudo de novo e fiz um log server, a unica coisa que corre nele é o syslogd, as outras maquinas da rede, estão a mandar todos os logs para ele via syslog remoto, usando o stunnel para manter a intigridade dos logs..
esta é a politica que eu estou a usar, e realmente até hoje está impecável :)
tb já ouvi falar num projecto "snort center" experimente ele ;)