[HaBo]

naked_chef · 03.05.06, 10:28

Hi leute.

ich habe gestern den auftrag von meinem chef bekommen, ein IPS aufzusetzen.
ich habe es mir so gedacht, das ich mir ein eigenes linux, alla LFS aufsetze und das system als Bridge laufen lasse. mit 3 netzwerkkarten. eth0 und eth1 werden gebridged
und eth2 wird mit einer ip versehen um die kiste remote zu konfigurieren.

leider bin ich auf ein problem gestoßen.
das system läuft, alles soweit so gut, nur leider habe ich ca. 75 % verlust.
also pakete die nicht analysiert werden.

jetzt habe ich den hinweis bekommen, das es am protected mode des prozessors liegen könnte.
gibt es eine möglichkeit, den kernel so zu konfigurieren, dass er im real mode läuft?

für hilfen und links wäre ich dankbar ...

thx

v01d · 03.05.06, 11:03

das kann sich nur um nen scherz handeln, mit dem real mode. der realmode wird schon seit 20 jahren nur noch zum booten verwendet und sonst eigentlich nicht mehr. sogar der 0.01er linux kernel schaltet sofort beim booten in den Pmode.
hast du vielleicht ipchains/iptables nicht richtig konfiguriert? oder ne drop regel am ende und zu wenig accept regeln?

Anzeige

- Anzeige -

shodan · 03.05.06, 11:10

Was für ein IPS setzt du ein?

Ich weiss das es für Snort einen Ringbuffertrieber für die NIC giebt
der wesentlich mehr Power hat als ein Normaler Treiber im Promiscuous
mode.

mfg

naked_chef · 03.05.06, 11:31

bei dem ips, handelt es sich um snort + iptables

ich weis nicht ob es am protected mode liegt oder nicht...
mir wurde nur der hinweis gegeben, dass es eventuell damit zusammen hängen könnte, aber nach der aussage von ebend, ja wohl ehr nicht ...

bis jetzt habe ich noch gar keine DROP- Regel definiert, zur zeit habe ich nur eine hand voll regeln,
aber das ist ja auch egal, sogut wie jedes dritte paket wird unbeachtet weiter gereicht.

z.b. wenn jemand versucht eine anfrage an den alten proxy zu senden 192.168.1.100, soll z.B. die ip getauscht werden in 192.168.1.111 (ja ich weis dass das nicht der eigentliche sinn eines IPS ist, ich brauchte nur eine regel an der ich einen simplen versuch starten kann der auch sichtbar wird)

gibt es den eine möglichkeit noch mahr leistung aus dem ips zu kitzeln?

es handelt sich um einen rechner mit einem P4 3.2 GHz und 2 Gbyte RAM + 3 GigaBit NICs

shodan · 03.05.06, 11:44

Code:

iptables -t nat -A PREROUTING -d 192.168.1.100 --dport <proxy-port> -j DNAT --to-destination 192.168.1.111

Welche version von snort benutz du?

mfg

naked_chef · 03.05.06, 12:07

die firewall- regel ist okay, denn solange einzelne pakete das IPS passieren läuft alles, aber wenn sich der traffic erhöht, rutschen einige pakete durch ...

ich nutze snort 2.4.4, die aktuelle version also ...

shodan · 03.05.06, 12:29

Versuch doch mal den Ringbuffer

http://public.lanl.gov/cpw/

Hier giebts kostenloses Material dazu

http://www.os-t.de/buecher_new.php

Edit:
PS: Ich hab damals nicht zum laufen bekommen.

mfg

naked_chef · 03.05.06, 13:10

okay, ich werd mir die geschichte mal anschauen und mich wieder melden wenn ich weiter bin ...

danke für die hilfe

Anzeige

- Anzeige -

03.05.06, 10:28	#1 (permalink)
naked_chef Registriert seit: 01.09.05 Likes: 0	Problem: Protected Mode & IPS Anzeige Hi leute. ich habe gestern den auftrag von meinem chef bekommen, ein IPS aufzusetzen. ich habe es mir so gedacht, das ich mir ein eigenes linux, alla LFS aufsetze und das system als Bridge laufen lasse. mit 3 netzwerkkarten. eth0 und eth1 werden gebridged und eth2 wird mit einer ip versehen um die kiste remote zu konfigurieren. leider bin ich auf ein problem gestoßen. das system läuft, alles soweit so gut, nur leider habe ich ca. 75 % verlust. also pakete die nicht analysiert werden. jetzt habe ich den hinweis bekommen, das es am protected mode des prozessors liegen könnte. gibt es eine möglichkeit, den kernel so zu konfigurieren, dass er im real mode läuft? für hilfen und links wäre ich dankbar ... thx

03.05.06, 11:44	#5 (permalink)
shodan Registriert seit: 04.02.06 Likes: 0	Code: iptables -t nat -A PREROUTING -d 192.168.1.100 --dport <proxy-port> -j DNAT --to-destination 192.168.1.111 Welche version von snort benutz du? mfg

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Promiscuous Mode mit 2200BG	Revenant	WLAN-Zone	1	29.06.07 13:36
WLAN 'Promiscous Mode'	v01d	WLAN-Zone	6	28.03.06 17:08
UTF8-mode	Deathevel	Linux/UNIX	4	25.02.04 17:30
Protected Storage	Waldi32	(In)security allgemein	1	05.01.04 12:38
cain und Protected Storage (IEXPLORE)	Darkmind	(In)security allgemein	4	05.01.04 12:13

03.05.06, 11:03	#2 (permalink)
v01d Registriert seit: 30.05.05 Likes: 0	das kann sich nur um nen scherz handeln, mit dem real mode. der realmode wird schon seit 20 jahren nur noch zum booten verwendet und sonst eigentlich nicht mehr. sogar der 0.01er linux kernel schaltet sofort beim booten in den Pmode. hast du vielleicht ipchains/iptables nicht richtig konfiguriert? oder ne drop regel am ende und zu wenig accept regeln?

03.05.06, 11:10	#3 (permalink)
shodan Registriert seit: 04.02.06 Likes: 0	Was für ein IPS setzt du ein? Ich weiss das es für Snort einen Ringbuffertrieber für die NIC giebt der wesentlich mehr Power hat als ein Normaler Treiber im Promiscuous mode. mfg

03.05.06, 11:31	#4 (permalink)
naked_chef Themenstarter Registriert seit: 01.09.05 Likes: 0	bei dem ips, handelt es sich um snort + iptables ich weis nicht ob es am protected mode liegt oder nicht... mir wurde nur der hinweis gegeben, dass es eventuell damit zusammen hängen könnte, aber nach der aussage von ebend, ja wohl ehr nicht ... bis jetzt habe ich noch gar keine DROP- Regel definiert, zur zeit habe ich nur eine hand voll regeln, aber das ist ja auch egal, sogut wie jedes dritte paket wird unbeachtet weiter gereicht. z.b. wenn jemand versucht eine anfrage an den alten proxy zu senden 192.168.1.100, soll z.B. die ip getauscht werden in 192.168.1.111 (ja ich weis dass das nicht der eigentliche sinn eines IPS ist, ich brauchte nur eine regel an der ich einen simplen versuch starten kann der auch sichtbar wird) gibt es den eine möglichkeit noch mahr leistung aus dem ips zu kitzeln? es handelt sich um einen rechner mit einem P4 3.2 GHz und 2 Gbyte RAM + 3 GigaBit NICs

03.05.06, 12:07	#6 (permalink)
naked_chef Themenstarter Registriert seit: 01.09.05 Likes: 0	die firewall- regel ist okay, denn solange einzelne pakete das IPS passieren läuft alles, aber wenn sich der traffic erhöht, rutschen einige pakete durch ... ich nutze snort 2.4.4, die aktuelle version also ...

03.05.06, 12:29	#7 (permalink)
shodan Registriert seit: 04.02.06 Likes: 0	Versuch doch mal den Ringbuffer http://public.lanl.gov/cpw/ Hier giebts kostenloses Material dazu http://www.os-t.de/buecher_new.php Edit: PS: Ich hab damals nicht zum laufen bekommen. mfg

03.05.06, 13:10	#8 (permalink)
naked_chef Themenstarter Registriert seit: 01.09.05 Likes: 0	okay, ich werd mir die geschichte mal anschauen und mich wieder melden wenn ich weiter bin ... danke für die hilfe

[HaBo]

Problem: Protected Mode & IPS