Сохранение источника при использовании Snort с loadbalancer? Или почему это плохая идея?

Первоначально я развернул HAProxy, чтобы можно было заметить плохой трафик, идущий на мой веб-сервер (а не он скрывается TLS), но теперь я заметил довольно очевидную проблему, что как только он прошел через loadbalancer, он больше не связан с исходным IP.

есть идеи, Можно ли заставить Snort отслеживать проблемные пакеты через HAProxy? К вашему сведению, в настоящее время я запускаю Snort и HAProxy на одном сервере. Моя полная настройка обычно включает в себя сценарий, как fail2ban, следовательно, желание идентифицировать эти удаленные хосты.

28
задан Thoughtitious
02.02.2023 6:29 Количество просмотров материала 3522
Распечатать страницу

1 ответ

Я не знаю о фырканье, но я немного знаю о балансировщиках нагрузки. Вот несколько вещей, которые могут быть полезны.

  • переместите датчик фырканья до HAProxy.
  • оставьте датчик там, где он есть, но превратите HAProxy в прозрачный прокси. Этого требует директива "usesrc clientip".
  • оставьте датчик там, где он есть, но позвольте HAProxy вставить заголовок" X-forwarded-for " (если вы используете HTTP), а затем пусть фыркает читать этот заголовок с помощью директивы "enable_xff"

EDIT: удалены предложения, несовместимые с расшифровкой TLS. Оставшееся предложение должно работать для HTTP (только HTTP). И только полезно, если у вас есть что-то, что может декодировать данные unified2 (barnyard2, u2pewfoo), как это то, что фырканье будет записывать "True-Client-IP" в, нет никакой возможности, чтобы он был зарегистрирован как происхождение. См. URL ниже для дальнейшего информация.

https://snort.org/faq/readme-http_inspect

2
отвечен StackzOfZtuff 2023-02-03 14:17

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх