3

Первоначально я развернул HAProxy, чтобы можно было заметить, что на мой веб-сервер поступает плохой трафик (а не тот, который скрывается TLS), но теперь я заметил довольно очевидную проблему: после прохождения loadbalancer он больше не ассоциируется с исходным IP.

Есть идеи, можно ли заставить Snort отслеживать проблемные пакеты через HAProxy? К вашему сведению, я сейчас использую Snort и HAProxy на одном сервере. Моя полная установка обычно включает в себя скрипт вроде fail2ban, отсюда и желание идентифицировать эти удаленные хосты.

|источник

1 ответ1

2

Я не знаю о Snort, но немного знаю о балансировщике нагрузки. Итак, вот несколько вещей, которые могут быть полезны.

  • Переместите датчик Snort до HAProxy.
  • Оставьте датчик там, где он есть, но превратите HAProxy в прозрачный прокси. Для этого требуется директива userc clientip.
  • Оставьте датчик там, где он есть, но позвольте HAProxy вставить заголовок «x-forwarded-for» (если вы используете HTTP), а затем позвольте Snort прочитать этот заголовок с помощью директивы enable_xff

РЕДАКТИРОВАТЬ: Удалены предложения, несовместимые с расшифровкой TLS. Оставшееся предложение должно работать для HTTP (только HTTP). И это полезно только в том случае, если у вас есть что-то, что может декодировать унифицированные2 данные (barnyard2, u2pewfoo), так как это то, во что Snort будет записывать «True-Client-IP», нет никакой возможности зарегистрировать его как источник. См. URL ниже для получения дополнительной информации.

https://snort.org/faq/readme-http_inspect

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .