使用 Snort 和负载均衡器时保留源?或者为什么这不是一个好主意?

使用 Snort 和负载均衡器时保留源?或者为什么这不是一个好主意?

最初我部署了 HAProxy,以便能够注意到进入我的 Web 服务器的不良流量(而不是被 TLS 掩盖),但现在我注意到一个相当明显的问题是,一旦它通过负载均衡器,它就不再与原始 IP 关联。

有没有办法让 Snort 通过 HAProxy 跟踪问题数据包?仅供参考,我目前在同一台服务器上运行 Snort 和 HAProxy。我的完整设置通常包含一个类似 fail2ban 的脚本,因此希望识别这些远程主机。

答案1

我不了解 Snort,但对负载均衡器了解一点。以下是一些可能有用的东西。

  • 将 Snort 传感器移至 HAProxy 之前。
  • 将传感器保留在原处,但将 HAProxy 变为透明代理。这需要“usesrc clientip”指令。
  • 将传感器留在原处,但让 HAProxy 插入“x-forwarded-for”标头(如果您使用的是 HTTP),然后让 Snort 使用“enable_xff”指令读取该标头

编辑:删除了与 TLS 解密不兼容的建议。其余建议应该适用于 HTTP(仅限 HTTP)。并且只有当您有可以解码 unified2 数据(barnyard2、u2pewfoo)的东西时才有用,因为 Snort 会将“True-Client-IP”记录到其中,没有将其记录为原点的选项。有关更多信息,请参阅下面的 URL。

https://snort.org/faq/readme-http_inspect

相关内容