La doppia macchina NIC Snort può causare minacce per aggirare il firewall?

2

Sto pensando di costruire una macchina Snort Linux in grado di ascoltare sia il traffico WAN che LAN.

Impostazione a cui sto pensando:
Snort computer con due NIC
Una NIC collegata all'hub / tocco all'esterno del firewall (WAN)
Una NIC collegata all'hub / tocco all'interno del firewall (LAN)
Gestione dalla macchina Snort stessa.

La mia domanda è:

Questa configurazione crea un percorso fisico tra la WAN e la LAN che aggira il firewall. Virus, trojan o malware o altre minacce potrebbero bypassare il firewall e passare dalla WAN alla macchina Snort e quindi alla LAN e influire sui computer LAN?

Ho letto sulla configurazione delle NIC senza indirizzi IP, ma non sono stato in grado di giungere a una conclusione sulla mia domanda.

    
posta Michael 29.10.2017 - 14:08
fonte

2 risposte

0

In generale, sì, i dispositivi dual homed possono - e spesso lo saranno - essere usati per creare un punto di snodo per gli attaccanti.

Eppure, la tua macchina da presa sarebbe in una posizione significativamente meno esposta come forse un server in una DMZ. D'altra parte, l'analisi è difficile e lo sniffare fa esattamente questo; Non sono sicuro di proclamare che non ci sono vulnerabilità nello snort. Tuttavia, come hai descritto, c'è una connessione fisica, quindi è molto probabile che possa infettarsi e fungere da punto di svolta nella tua rete.

Oltre a usare iptables per limitare il traffico di rete in uscita di quella macchina, potresti anche considerare l'utilizzo di un diodo di dati per garantire quel comportamento. Le configurazioni su quella macchina possono essere cambiate molto bene quando l'attaccante ottiene la root; semplice come iptables -P OUTPUT ACCEPT . Un diodo di dati potrebbe comunque contenere qualsiasi traffico in uscita.

    
risposta data 29.10.2017 - 20:43
fonte
0

Nella sua forma più elementare, quando una macchina Snort viene utilizzata come IDS, il requisito per una seconda scheda NIC non è presente tranne la ridondanza. Se utilizzato come IPS, viene utilizzato il motore Snort per decidere se i pacchetti devono essere eliminati, quindi in questo caso è necessario disporre di tale seconda NIC.

    
risposta data 24.12.2018 - 06:07
fonte

Leggi altre domande sui tag