Question SNORT : comment ajouter une blacklist IP ?

[Julien77]

B'jour,

j'aimerais blacklister une liste importante d'adresses IP.

Ma première réaction fut de rajouter en DROP ces IP ds les tables IPTABLES.
Ca marche parfaitement, mais utilise pas mal de ressources CPU.

Et hier, j'ai lu une réaction à un topic interessant de la part de Popoch : rajouter cette liste en tant qu'alerte SNORT, puis utiliser GUARDIAN (http://www.chaotic.org/guardian/) pour faire du DROP à chaque alerte SNORT.

Ds le principe ça marche bien... avec 2 ou 3 adresses. Mais lorsque l'on a 10 000 adresses à blacklister, SNORT ne démarre tout simplement plus. J'ai essayé par passage de variable sous SNORT et ligne par ligne, comportements identiques.

1er problème : impossible de trouver un log de SNORT m'expliquant son plantage. Savez vous où je peux trouver plus de renseignements ?

2eme problème : existe t il des restrictions à SNORT ? ou un moyen clean de mettre des alertes sur tant d'adresses ?


Par avance merci !

A+

[Franck78]

fais un fichier host sur ta machine qui contient

127.0.0.1 locahost
127.0.0.1 siteppourri.un
127.0.0.1 site.pourri.deux

etc pour tes dix milles entrées


Plus de détail:

Cherche "hosts" sur le site " www.assiste.com "
tips : dans la rubrique "anti-pub"



bye

[Julien77]

Merci pour ce truc... j'étais déjà tombé dessus.

Le problème c'est que je cherche à blacklister des adresses ip, et non pas des hostnames.

La solution de modif du hosts marche nikel qud on ne veut pas que la résolution de nom trouve la bonne ip.

Là, les adresses IP sont déjà connues.


A+

[Franck78]

Sorry, j'ai pas tilté C'est asse rare d'avoir 10.000 ip.

Question : elles sont aléatoirement réparties ou correspondent à des plages bien précises ?


Parceque
10.0.0.0
10.0.0.1
10.0.0.2
10.0.0.3

S'abrège en 10.0.0.0/30
par exemple

Ca réduit vraiment le nombre d'IP !

[braouazou]

Le fichier /etc/hosts.deny est fait pour ça non?
Par contre, le remplir avec 10 000 adresses, je ne sais pas ce que ça peut donner. Fudrait déjà faire un petit script pour rentrer tout ça...

@++

[Julien77]

En fait, c'est de 10 000 plages IP dont je parle... il s'agit de la liste peer guardian.

Je sais que ça sert quasiment à rien ce truc, vu qu'il suffit qu'ils fassent leurs tests à partir d'un poste en dhcp sur un fai commun pour qu'ils passent inaperçus à nos yeux.

Enfin, bref, c'est juste un ptit défit que je me suis posé, et vu que j'arrive pas à le résoudre, je m'suis dit que j'allais vous poser la question

Alors ? des logs de snort quant à ce plantage ? vous en avez connaissance ?

En tout cas, j'aime bien la philo du guardian pour snort, meme si à l'occasion, il mène à un blocage excessif. Enfin... faut juste que je règle un peu mieux Snort...


A+ !!

[erreipnaej]

Bonsoir,

En cherchant comment ne pas bloquer des IP que je ping avec le tandem Snort + Guardian, je viens de tomber sur le fichier snort.conf qui liste les includes de Snort, donc les régles que tu appliques.
Il y a les includes suivants commentés:
# include $RULE_PATH/porn.rules
# include $RULE_PATH/info.rules
# include $RULE_PATH/chat.rules
# include $RULE_PATH/multimedia.rules
# include $RULE_PATH/p2p.rules
Peut être que en bricolant cela peux répondre à ton problème.
Les fichiers de régles sont dans /etc/snort/
Bon test.
@+

[patrick-f]

Je ne sais pas si ça peut vous aider, mais sur ce site

http://www.chez.com/leppa/firewalls/majFW.html

Il existe une liste peerguardian en regle snort

http://big.chez.com/leppa/firewalls/snort.html