LINUX.ORG.RU
решено ФорумAdmin

Squid(transparent+ssl-bump) подключить snort

 ,


0

1

Использую Ubuntu 14.. Настроил Squid3 Прозрачный прокси с сертификатами

Хочу прикрутить snort что-бы он мог видеть шифрованный трафик.

Как понимаю надо капать в сторону WCCP, ICAP, redirect_program но как правильно или как можно, не знаю.

snort не устанавливал.. хороший гайд приму в радость =)


Снорт работает в режиме сниффера, то бишь на вход принимает сырой трафик. А при перехвате ссл сквидом дешифрованный трафик есть только внутри процесса кеша, вовне он не выходит, поэтому я не думаю что будет иметь смысл его перенаправлять в снорт.

Да, и чего ты добиться то хочешь?

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Вроде бы хотел снифферить

дешифрованный трафик

, на наличие в пакетах текста-слово сочетаний, ловить пароли, может на утечку файлов по этим шифрованным каналам.. и тд.. в общем правила какиенть сделать и для этого snort подходит?..

Снорт работает в режиме сниффера, то бишь на вход принимает сырой трафик.

тоесть правила с физического до транспортного уровня.. а вот контроль прикладного..

может и правд надо лучше изучить правила squid и кажется SquidGuard

Вопрос просматривать пакеты дешифрованные squid и посылать-подделывать пакеты, например захотел пользователь скачать файл, а ему подсунуть другой файл..

lstdmi
() автор топика
Ответ на: комментарий от lstdmi

, на наличие в пакетах текста-слово сочетаний, ловить пароли, может на утечку файлов по этим шифрованным каналам.. и тд.. в общем правила какиенть сделать и для этого snort подходит?..

Snort это IDS, я точно не помню есть ли там DLP модуль. И на траффик он напрямую влиять вроде не может, только тревогу поднимать.

Вопрос просматривать пакеты дешифрованные squid и посылать-подделывать пакеты, например захотел пользователь скачать файл, а ему подсунуть другой файл..

Это можно и в сквиде сделать, там правила достаточно гибкие.

blind_oracle ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin