Problem: Protected Mode & IPS

N

naked_chef

0
Hi leute.

ich habe gestern den auftrag von meinem chef bekommen, ein IPS aufzusetzen.
ich habe es mir so gedacht, das ich mir ein eigenes linux, alla LFS aufsetze und das system als Bridge laufen lasse. mit 3 netzwerkkarten. eth0 und eth1 werden gebridged
und eth2 wird mit einer ip versehen um die kiste remote zu konfigurieren.

leider bin ich auf ein problem gestoßen.
das system läuft, alles soweit so gut, nur leider habe ich ca. 75 % verlust.
also pakete die nicht analysiert werden.

jetzt habe ich den hinweis bekommen, das es am protected mode des prozessors liegen könnte.
gibt es eine möglichkeit, den kernel so zu konfigurieren, dass er im real mode läuft?

für hilfen und links wäre ich dankbar ...

thx
 
das kann sich nur um nen scherz handeln, mit dem real mode. der realmode wird schon seit 20 jahren nur noch zum booten verwendet und sonst eigentlich nicht mehr. sogar der 0.01er linux kernel schaltet sofort beim booten in den Pmode.
hast du vielleicht ipchains/iptables nicht richtig konfiguriert? oder ne drop regel am ende und zu wenig accept regeln?
 
Was für ein IPS setzt du ein?

Ich weiss das es für Snort einen Ringbuffertrieber für die NIC giebt
der wesentlich mehr Power hat als ein Normaler Treiber im Promiscuous
mode.

mfg
 
bei dem ips, handelt es sich um snort + iptables

ich weis nicht ob es am protected mode liegt oder nicht...
mir wurde nur der hinweis gegeben, dass es eventuell damit zusammen hängen könnte, aber nach der aussage von ebend, ja wohl ehr nicht ...

bis jetzt habe ich noch gar keine DROP- Regel definiert, zur zeit habe ich nur eine hand voll regeln,
aber das ist ja auch egal, sogut wie jedes dritte paket wird unbeachtet weiter gereicht.

z.b. wenn jemand versucht eine anfrage an den alten proxy zu senden 192.168.1.100, soll z.B. die ip getauscht werden in 192.168.1.111 (ja ich weis dass das nicht der eigentliche sinn eines IPS ist, ich brauchte nur eine regel an der ich einen simplen versuch starten kann der auch sichtbar wird)

gibt es den eine möglichkeit noch mahr leistung aus dem ips zu kitzeln?

es handelt sich um einen rechner mit einem P4 3.2 GHz und 2 Gbyte RAM + 3 GigaBit NICs
 
Code: 
iptables -t nat -A PREROUTING -d 192.168.1.100 --dport <proxy-port> -j DNAT --to-destination 192.168.1.111

Welche version von snort benutz du?

mfg
 
die firewall- regel ist okay, denn solange einzelne pakete das IPS passieren läuft alles, aber wenn sich der traffic erhöht, rutschen einige pakete durch ...

ich nutze snort 2.4.4, die aktuelle version also ...
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben