|
Kerio Software Appliance - обновляем SNORT. |
Начнем с повторения азбучных истин:
- Снорт - это совершенно неподконтрольная кериотам система, способная наблюдать и блокировать скрытый кериотами от админов трафик со стуком, который генерируют кериотские продукты, а потому в керио Снорт урезан до неприличия;
- в керио придуманы свои собственные правила группировки общепринятых снортовских правил без возможности как-то манипулировать ими, соответственно - придуман свой собственный формат хранения снортовских сигнатур;
- кериоты лишили возможности своих клиентов создавать пользовательские правила для Снорт.
- обновления правил Снорт в керио - опоздание на две-три недели по сравнению с производителем.
- формат правил Снорт одинаков для всех видов керио - и для вин-, и для линукс.
- правила для Снорт в формате керио можно получить или от них самих, или сделать самостоятельно с помощью скрипта control_snort пакета KUAS. Других вариантов пока на практике нет.
Подробности смотрим здесь, а вот тут смотрим дополнительные возможности, которые можно легко реализовать с помощью Снорт в керио.
Мораль из вышесказанного: поскольку отношение кериотов к снорту более, чем убогое, то создадим свои - нужные именно нам - правила фильтрации трафика с учетом защиты от спамеров\хакеров, блокировки стран и городов, контентной фильтрации сайтов по аналогии с веб-фильтром, и своей собственной классификацией и группировкой исходных снортовских правил. Все это делает пакет KUAS, результаты его работы каждый может получить самостоятельно путем применения скриптов из его состава, или просто скачать готовые правила в кериотском формате с http://gene.ru/download/index.htm . Подписчики получают ежедневный обновленный состав этих файлов.
Рассмотрим на примере общедоступных файлов правил для керио с сайта http://geneg.ru порядок их установки в аплянс.
Для версий Kerio Control 7.3.0 и старше используются два архива с двумя группами правил - для фильтрации трафика и для блокировки нежелательных диапазонов адресов. Для начала скачаем их с сайта:
..\snort\SNORT-RULES-FOR-KERIO_730.zip
..\snort\SNORT-LISTS-FOR-KERIO_730.zip
Разместим эти архивы на нашем локальном сервере обновлений в директорию, открывающуюся по адресу http://updater/snort - по умолчанию это папка c:\web_snort на штатном ИИС, или директория ./webiface/snort, которую мы создали на аплянсе для собственного самоудовлетворения - предполагаем, что мы уже научились модифицировать наш аплянс. Настраиваем ДНС для доступа к этому веб-серверу.
Нам потребуется утилита wget для скачивания архивов с веб-сервера в аплянс и какой-то архиватор, способный открыть архив zip с паролем в аплянсе. Выясняется, что штатный unzip, входящий в дистрибутив аплянса, пароли не поддерживает, а потому скачаем два пакета :
..\downloads\libbz2-1.0_1.0.5-6+squeeze1_i386.deb
..\downloads\unzip_6.0-4_i386.deb
и установим их аналогично пакету wget. После установки пакетов удалим линк для файла /usr/bin/unzip, заменив его новым скачанным в пакете файлом unzip.
Скачаем сам пакет KUAS - ..\downloads\KUAS.zip и извлечем из него файл control_snort_linux32.cmd. Для совсем ленивых - берем скрипт здесь. Осторожно обращаемся с ним под виндой - этот скрипт в формате линукса !!! При помощи WunSCP перенесем его в аплянс - в созданную директорию /var/snort_update - и дадим ему для всех полные права chmod 777.
В аплянсе создадим директорию для теста - в смысле поупражняться перед боевой установкой - /var/snort_test.
ВНИМАНИЕ : не создавайте эти директории в корне !!!! Только в /var !!!!
обратим внимание, что и рабочая директория снорта в керио расположена тут же:
откроем в редакторе полученный скрипт control_snort_linux32.cmd и убедимся, что нет виндовых концов строк от случайного редактирования.
После чего выберем источник обновлений и директорию назначения.
Источник обновлений - сайт geneg.ru - это для очень ленивых, т.е. тех, кто еще не понял, что наличие собственного локального сервера обновлений для юзеров керио - необходимость. И что переделывать его каждый раз при новой установке новой версии - глупость. Поэтому будет правильно, если в качестве источника обновлений использовать свой собственный локальный веб-сервер, на который скачиваются реальные обновления:
Выбор тестовой директории или сразу реального обновления оставляю на совести и амбициях пользователей :)
В случае выбора тестовой директории в ней будет создана файловая структура, аналогичная реальной.
По умолчанию - включено реальное обновление.
Перед запуском скрипта помним -
ПРИМЕНЕНИЕ ОБНОВЛЕНИЙ SNORT ВОЗМОЖНО ТОЛЬКО ПОСЛЕ ПЕРЕЗАПУСКА KERIO CONTROL !!!
Запускаем скрипт, видим результат:
Вот, собственно, и все. Идем в консоль администрирования Kerio Control и проверяем корректность работы Snort.
Обращаем внимание на то, что формат номеров версий изменился по сравнению с кериотским - номера групп изменены наоборот (специально) и версия указана настоящая - от производителя правил СНОРТ.
Кроме того, попробовав ввести в игнорируемые сигнатуры какой-нибудь номер правила, увидим, что правило обнаруживается по имени, а значит - Snort работает корректно. А что это наши правила, а не кериотские - их имя изменено (добавлен вывод имен исходных и целевых файлов правил).
Засунем скрипт в cron. Если вы - подписчик пакета KUAS, то все обновления Snort будут устанавливаться у вас автоматически, обновляясь четыре раза в сутки (это слишком часто :) - один раз довольно).
Итак, качаем:
..\downloads\control_snort_linux32.zip
и
подписываемся на обновления,
затем законно радуемся :)
ВСЕ.
Если для кого-то это все очень сложно, то читаем вот эту инструкцию.
Удачи !
