¿Puede la máquina Snort de NIC dual causar amenazas que pasen por alto el firewall?

Navega tus respuestas
2

Estoy pensando en construir una máquina Linux Snort que pueda escuchar tanto el tráfico de WAN como el de LAN.

Configuración en la que estoy pensando:
Snort computer con dos NICs
Una NIC conectada a un hub / tap fuera del firewall (WAN)
Una NIC conectada a hub / tap dentro del firewall (LAN)
Gestión desde la propia máquina de Snort.

Mi pregunta es:

Esta configuración crea una ruta física entre la WAN y la LAN que pasa por alto el firewall. ¿Podrían los virus, los troyanos o el malware u otras amenazas pasar por alto el firewall y pasar de la WAN a la máquina Snort y luego a la LAN y afectar a las computadoras LAN?

He leído sobre la configuración de las NIC sin direcciones IP, pero no he podido llegar a una conclusión sobre mi pregunta.

    
pregunta Michael 29.10.2017 - 14:08
fuente

2 respuestas

0

En términos generales, sí, los dispositivos de doble hogar pueden, y con frecuencia se utilizarán, para crear un punto de pivote para los atacantes.

Sin embargo, su máquina de rastreo estaría en una posición significativamente menos expuesta como tal vez un servidor en una DMZ. Por otro lado, el análisis es difícil y resoplar hace exactamente eso; No estoy seguro de proclamar que no hay vulnerabilidades en snort. Sin embargo, como describió, existe una conexión física, por lo que podría infectarse y actuar como un punto de pivote en su red.

Además de usar iptables para restringir el tráfico de red saliente de esa máquina, también puede considerar usar un diodo de datos Para garantizar ese comportamiento. Las configuraciones en esa máquina podrían cambiarse muy bien cuando el atacante obtenga la raíz; tan simple como iptables -P OUTPUT ACCEPT . Un diodo de datos aún retendría cualquier tráfico saliente.

    
respondido por el Tobi Nary 29.10.2017 - 20:43
fuente
0

En su forma más básica, cuando se utiliza una máquina Snort como IDS, el requisito para una 2da NIC no está a excepción de la redundancia. Cuando se usa como un IPS, el motor Snort se usa para decidir si los paquetes se eliminarán, por lo que en este caso es necesario contar con la segunda NIC.

    
respondido por el Ste 24.12.2018 - 06:07
fuente

Lea otras preguntas en las etiquetas

OPAL SSD cifrado de disco completo y generación de claves Detectar kASLR / ASLR dentro de una imagen de firmware de Linux sin ejecutarlo