Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 1167 views
  • Users 0 members are here
Options
Suggested

Inline Snort (Content Filtering Firewall)

BarryG
The Snort project has just announced Inline Snort!

I think this would be a wonderful addition (official or a hack) to ASL. For example, it would be able to filter out attacks such as Code Red and Nimda upon webservers behind ASL, without having to setup a reverse proxy, as well as ftp, pop, and other attacks which ASL is currently unable to prevent.

It appears to me that ASL 3.2 has everything needed (iptables with ip_queue kernel module).

All that needs to be done is compile it (should be easy), insert the ip_queue kernel module, and add a queue target to the end of the firewall rules so all allowed traffic gets passed to Snort Inline.

I do not currently know what file I can safely add such a rule to (so it will take all packets that have been allowed, and queue them to Snort). 

Ideally, we would have an additional option in the webmin to turn this on and off, either for everything, or as an ACTION in the Packet Filter RULES page.

Eventually, perhaps the webmin could even download new rulesets from snort.org, but this is not necessary for us to get started.

I am willing and able to work on this myself, but I would appreciate some suggestions for adding the iptables rules or modifying webmin to support this as an ACTION.

Also, I would be happy to host a small mailinglist for an ASL Snort Inline project if there are others interested in helping with this.

Of course, if Astaro is already working on this, I would like to know also.

  
  
Inline Snort Available  Brian @ Mon Aug 5 11:37:33 EDT 2002  Jed Haile (of hogwash fame) has released an inline mode patch for Snort. Inline mode is the result of Jed's attempt to merge the extensive work on hogwash back into snort. By merging many of the core features of hogwash back into snort, users will be able to use all of the resources you already know and love. Work is in the planning stage to provide an "official" signature set that is specificly designed for inline mode. Currently, inline mode for snort only works on modern linux kernels at the moment, because it relies on libipq. You can download a working copy here. Please play with it and let Jed know of any bugs.
BTW, this is very similar to the IPTables version of Hogwash, except this should be much more popular and therefore better maintained.

Barry
 
 [size="1"][ 05 August 2002, 19:45: Message edited by: barrygould ][/size]
  • 0
    Barry,

    thanks for your feedback. Yes, we are evaluating these projects. Yes, it will be a nice improvement of the firewall.

    Please understand that we are conservative on publishing our roadmap. All I can say is that it will not be released in 2002.

    If anybody is playing around with Inline Snort or similar projects on ASL, of course we would be very interested to learn from your experiences.

    Regards,
    Jan
     
     [size="1"][ 06 August 2002, 03:18: Message edited by: Jan Hichert ][/size]
  • 0 in reply to Jan Hichert
    Jan, thank you for responding.

    In this case, could you please give me a suggestion as to where (into what file) to insert the queue iptable rule?

    I (and other ASL "Hackers") really need an outline of what files do what. I am very familiar with RedHat, but ASL seems VERY different to me. I don't know if that's because it's based on Debian (or whatever), or if it's because of other design issues, but I really could use a "map" of the system layout.

    Thanks,
    Barry
  • 0 in reply to BarryG
    Could someone please point me towards what files I can safely modify to add IPTables commands?

    Thank you,
    Barry