Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Snort - Fehlende Alerts bei Trojaner-Traffic

    Scheduled Pinned Locked Moved Deutsch
    2 Posts 2 Posters 926 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pfs.malte
      last edited by

      Hallo zusammen,

      ich habe ein Problem mit Snort auf meiner pfSense. Ich habe den Snort so konfiguriert, dass ich Alerts sowohl vom WAN-Interface als auch vom LAN-Interface bekomme. Auf der pfSense läuft auch noch ein Squid, sodass ich immer einen Alert auf dem LAN-Interface bekomme mit der IP des betreffeden PCs im LAN als Source und der internen IP der pfSense als Destination und einen Alert auf dem WAN-Interface mit der externen IP der pfSense als Source und der IP des Zielservers als Destination. Soweit so gut.

      Jetzt habe ich einige Alerts über Trojaner-Traffic (Conficker) auf dem WAN-Interface mit meiner pfSense als Source und diversen IPs als Destination. Allerdings fehlt der entsprechende Alert auf dem LAN-Interface, der mir zeigt von welchem PC der Traffic aus meinem internen Netz kommt.

      Wenn Conficker also nicht gerade auf FreeBSD läuft fehlt da was in meinen Logs.

      HAt da jemand eine Idee und kann mir weiterhelfen?

      pfSense-Version:    2.1
      Snort-Version:        2.9.4.6 pkg v. 2.6.0

      Gruß
      Malte

      1 Reply Last reply Reply Quote 0
      • S
        sensemann
        last edited by

        interessiert mich auch. hast du eine Lösung gefunden?

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.