Einleitung

Ich habe vor relativ kurzem in meinem Blog geschrieben, dass ich eine (fuer mich neue) iptables Funktion entdeckt hatte. Ich habe auch das fwsnort Projekt an der Stelle empfohlen, dass versucht aus den Snort Regeln iptables Regeln zu machen. Nun moechte ich euch hier zeigen, wie schnell ihr fwsnort einrichten koennt. Ich werde hierbei fwsnort aus dem Quellcode heraus installieren (unter Debian Squeeze ist fwsnort im Repository).

Installation und Konfiguration

Als erstes ladet ihr euch fwsnort von der Hompeage herunter. Anschliessend enpackt ihr fwsnort und installiert es.

handtuch:~# tar xfvz fwsnort-1.1.tar.gz
handtuch:~# fwsnort-1.1/install.pl

Nachdem ihr fwsnort nun ganz simpel installiert habt (gegebenenfalls Abhaengigkeiten erfuellen), konfigurieren wir es in der Konfigurationsdatei /etc/fwsnort/fwsnort.conf (ich gehe hierbei von einem Router mit drei Netzwerkkarten aus, zwei fuer interne LANs und eine fuer den Internetzugang):

HOME_NET 192.168.23.0/24,192.168.42.0/24;
EXTERNAL_NET any;

[...]

DNS_SERVERS 192.168.42.2;

[...]

SSH_PORTS [22,666];

[...]

WHITELIST 192.168.23.1,192.168.42.1;

Ich habe nur die veraenderten Stellen hier eingetragen. Der Router selber besitzt die IP-Adresse 192.168.23.1 und 192.168.42.1. Der SSH Port der verwendet wird, liegt auf Port 22 und 666. Wenn ihr nun diese Konfiguration vorgenommen habt, fuehren wir

fwsnort --update-rules

aus. Dadurch werden die aktuellen Regeln heruntergeladen. Wenn die Regeln heruntergeladen wurden, fuehren wir

fwsnort --ipt-reject

aus. Dadurch wird versucht, aus den snort Regeln iptables Regeln zu erstellen. Allerdings wird durch den Parameter "--ipt-reject" statt einem DROP des Pakets, ein REJECT durchgefuehrt, sollte das Paket gegen eine Regel verstossen. Wenn die Regeln erstellt wurden, fuehren wir nun noch

/etc/fwsnort/fwsnort.sh

aus. Jetzt wurden die Regeln in unsere iptables Firewall integriert.

Automatisches Update durch Cron

Da wir immer die aktuellen Regeln haben wollen, schreiben wir uns ein kleines Skript, was dies automatisch fuer uns erledigt. Wir legen die Datei /root/fwsnort_update.sh mit folgendem Inhalt an:

#!/bin/bash

LOGDATUM=`date`
echo "$LOGDATUM updating fwsnort rules..." > /tmp/fwsnort_update.log 2>&1
fwsnort --update-rules >> /tmp/fwsnort_update.log 2>&1

LOGDATUM=`date`
echo "$LOGDATUM generating fwsnort rules..." >> /tmp/fwsnort_update.log 2>&1
fwsnort --ipt-reject >> /tmp/fwsnort_update.log 2>&1

LOGDATUM=`date`
echo "$LOGDATUM inserting fwsnort rules..." >> /tmp/fwsnort_update.log 2>&1
/etc/fwsnort/fwsnort.sh >> /tmp/fwsnort_update.log 2>&1

cat /tmp/fwsnort_update.log | mailx -s "fwsnort rules update" root
rm -f /tmp/fwsnort_update.log

exit 0

Diese machen wir ausfuehrbar

chmod +x /root/fwsnort_update.sh

und tragen sie in die /etc/crontab ein:

#fwsnort rules update
22 2 * * 7 root /root/fwsnort_update.sh

Dadurch wird Sonntags um 2:22Uhr immer unser Update Skript ausgefuehrt und fwsnort bleibt immer auf dem neusten Stand.

Kontakt

Um den Autor zu kontaktieren benutze diesen Link.