USO SNORT / PFBLOCKER

tiago.duarte

Boa tarde,

Gostaria de saber dos usuários como esta a experiência de uso do SNORT. Estou enfrentando problemas com ataques.
Percebi que usando o PFBLOCKER eu consigo bloquear as entradas de forma bem efetiva (principalmente com o GEOIP), mas queria uma ferramenta que fizesse isso quando houvesse várias tentativas suspeitas (várias tentativas de conexões do mesmo IP).
Notei que estes IPS são do Brasil. A tabela de estado enche mais de 90% e a minha WAN começa ter perda de pacote...
O PFBLOCKER oferece alguma função que bloqueie quando houver várias tentativas de acesso sem sucesso?

mcury

@tiago-duarte said in USO SNORT / PFBLOCKER:

O PFBLOCKER oferece alguma função que bloqueie quando houver várias tentativas de acesso sem sucesso?

O pfblocker teria que ter uma lista prévia, que conhecesse esse IP para que o bloqueio fosse feito.
Ele apenas cria listas (aliases) baseado nas listas previamente configuradas.

Antes de tentar o Snort, eu tentaria ir no Advanced options da sua regra de firewall e dar uma tunada.
Você pode ler mais sobre isso em: https://docs.netgate.com/pfsense/en/latest/firewall/configure.html

tiago.duarte

@mcury Entao... eu to o dia todo acompanhando o PFSENSE aqui.
Notei que praticamente de hora em hora aparece praticamente 4 redes atacando (falo rede pq quando filtro encontro mais de mais de 600 registros da mesma faixa)
Ex: xxx.xxx.240.xxx/24
xxx.xxx.241.xxx/24
xxx.xxx.242.xxx/24
xxx.xxx.243.xxx/24

Ai criei uma regra de bloqueio e adiciono estas redes. A tabela de estado cai de 60-80% para 1%. E 1 hora depois volta o problema. Alguém já passou por isso?

Sobre usar as Opções Avançadas das regras, sei que tem um esquema de Syn Flood que comentaram para mim, mas nunca usei, saberia dizer a melhor prática disso?
Eu vou ver o link agora mesmo. Muito obrigado \o

mcury

@tiago-duarte Eu começaria colocando um valor de 10 aqui:

Maximum state entries per host

Cuidado para não por esse valor muito baixo pois pode atrapalhar conexões legítimas.

@tiago-duarte said in USO SNORT / PFBLOCKER:

Ai criei uma regra de bloqueio e adiciono estas redes. A tabela de estado cai de 60-80% para 1%. E 1 hora depois volta o problema. Alguém já passou por isso?

Se o problema volta, os IPs devem mudar.. certo ?

tiago.duarte

@mcury O problema é que este serviço usa muitas conexões. Isso poderia causar problemas.
O SNORT não resolveria a questão de derrubar tentativas suspeitas de acesso?
Quanto aos IPS... eles mudam sim. Já bloqueei umas 20 redes /24.

mcury

@tiago-duarte said in USO SNORT / PFBLOCKER:

O problema é que este serviço usa muitas conexões. Isso poderia causar problemas.

Como sugeri. por 10 naquele valor faria com que:
Iria permitir até 10 conexões por IP, por host.

Vale ressaltar, que essa opção não espera que forme three way handshake, ou seja, seriam 10 conexões TCP estabelecidas por IP, e a partir da décima primeira, o pacote seria limitado apenas ao SYN que seria bloqueado.

O snort pode ajudar sim, mas você teria que procurar uma regra de TCP syn flood, e dar uma tunada nela.
Não é trivial trabalhar com Snort, e requer manutenção contínua, muitos falsos positivos.

A não ser, que você crie apenas uma regra e desative as outras.

Tente da forma que sugeri, e caso não funcione do jeito que você quer, podemos ver o Snort ou Suricata.

tiago.duarte

@mcury
Entao eu entendi errado. São 10 conexões por ip. Achei que fosse 10 conexões para a regra inteira |o|.
Vamos supor o seguinte: Eu quero que esta criar esta regra para um site que usa https, 10 conexões seriam muito ou pouco? Poderia limitar a 5? Agora fiquei curioso se estou entendendo bem este processo de conexão. Basicamente quando estabelece um pacote TCP, ele fecha uma conexão correto?

mcury

@tiago-duarte said in USO SNORT / PFBLOCKER:

@mcury
Vamos supor o seguinte: Eu quero que esta criar esta regra para um site que usa https, 10 conexões seriam muito ou pouco? Poderia limitar a 5?

Pode limitar a 5 e testar

Agora fiquei curioso se estou entendendo bem este processo de conexão. Basicamente quando estabelece um pacote TCP, ele fecha uma conexão correto?

Sim, vem o primeiro SYN, o servidor responde com SYN ACK, e o cliente manda mais um ACK e assim fecha o TCP, essa é uma sessão.

No caso daquela configuração, um IP poderia formar 10 conexões TCP, estabelecidas.
Na décima primeira, o firewall iria bloquear o SYN inicial, para aquele determinado IP apenas.

tiago.duarte

@mcury Perfeito... vou tentar fazer isso, só tem uma dúvida, acredito eu que nao afete...
Tenho várias VPNs integradas (IPSEC) das Filiais. Não tem risco disso afetar as VPNS, considerando que a regra de VPN eu nao terei este tipo de procedimento certo?
Outra preocupação é que tenho um servidor DNS. Não é o caso do que to sofrendo pq não estou tendo problemas com a porta 53, mas sim outro serviço. Como eu contornaria se fosse um servidor DNS, pois acredito eu que toda vez que alguém tenta chegar no meu destino vai consultar o registro BR e cair na minha regra?
Desde já lhe agradeço todo o apoio

mcury

@tiago-duarte said in USO SNORT / PFBLOCKER:

@mcury Perfeito... vou tentar fazer isso, só tem uma dúvida, acredito eu que nao afete...

Tenho várias VPNs integradas (IPSEC) das Filiais. Não tem risco disso afetar as VPNS, considerando que a regra de VPN eu nao terei este tipo de procedimento certo?

Essa opção que sugeri, só vai afetar a regra que você incluir o parâmetro.
Se um acesso na porta 443, só vai afetar essas conexões.

Outra preocupação é que tenho um servidor DNS. Não é o caso do que to sofrendo pq não estou tendo problemas com a porta 53, mas sim outro serviço. Como eu contornaria se fosse um servidor DNS, pois acredito eu que toda vez que alguém tenta chegar no meu destino vai consultar o registro BR e cair na minha regra?

Não entendi muito bem, mas pelo que me parece, você tem um dúvida quanto a como o DNS funciona.
As pessoas na Internet não consultam diretamente o seu servidor DNS, e as pessoas têm seus próprios servidores DNS.
Ao consultá-los, elas vão direto para o seu servidor. Elas não precisam consultar o seu servidor DNS em si.
Você pode ter um servidor DNS na sua LAN para consultas internas, AD e esse tipo de coisa, mas a Internet não precisa de acesso a esse serviço para chegar no seu site.

tiago.duarte

@mcury Obrigado, vou tentar criar apenas para a porta que estou sofrendo mesmo.
Quanto ao DNS, eu realmente tenho um servidor DNS, que responde na porta 53. Quando alguém digita um endereço que esta no meu servidor, é consultado no registroBR que após isso joga para meu servidor certo? Isso nao estabeleceria uma conexão? A pergunta foi meio de curioso haha

Sobre o Synproxy, achei bem interessante, se tiver alguma experiência sobre o uso, lhe agradeço. Vou fazer todos os testes amanhã: Pelo que vi na documentação:
"
Sinproxy
Esta opção faz com que pf faça proxy de conexões TCP de entrada.

As conexões TCP começam com um handshake de três vias. O primeiro pacote de uma conexão TCP é um SYN da origem, que provoca uma resposta SYN ACK do destino e, em seguida, um ACK de retorno da origem para completar o handshake. Normalmente, o host atrás do firewall cuidará disso sozinho, mas o estado synproxy faz com que o firewall conclua esse handshake. Isso ajuda a proteger contra um tipo de ataque de negação de serviço, as inundações SYN. Normalmente, isso só é usado com regras em interfaces WAN.

Atualmente, esse tipo de ataque é melhor tratado no nível do sistema operacional alvo, já que todo sistema operacional moderno inclui recursos para lidar com isso por conta própria. Como o firewall não pode saber quais extensões TCP o host back-end suporta, ao usar o estado synproxy, ele anuncia que não há extensões TCP suportadas. Isso significa que as conexões criadas usando o estado synproxy não usarão dimensionamento de janela, SACK, nem carimbos de data/hora, o que levará a uma redução significativa no desempenho na maioria dos casos.

Esta opção pode ser útil ao abrir portas TCP para hosts que não lidam bem com abusos de rede, onde o desempenho superior não é uma preocupação."