Snort OpenAppID RULES detectors md5 download failed

AFZ · Jul 13, 2017, 11:08 AM

Приветствую всех.
Готовлю к запуску шлюз, возникли трудности с обновлением рулсетов Snort'а:

Snort OpenAppID RULES detectors md5 download failed
Server returned error code 0.
Server error message was: Resolving timed out after 15577 milliseconds
Snort OpenAppID RULES detectors will not be updated.

Платформа: 2.3.4-RELEASE (amd64)
Пакеты: 2.1.1_8 pfBlockerNG, 3.2.9.3 Snort

Остальные рулсеты подгружаются без проблем. Платформа ставилась чистой установкой, не обновлением.
Гуглеж на англоязычных ветках подсказки давал, что виновник pfBlockerNG, и блочит он amazonaws.com
Нужны свежие мысли и подсказки.

werter · Jul 13, 2017, 5:48 AM

Доброе.
Подписку на загрузку правил snort оформили?

AFZ · Jul 13, 2017, 10:58 AM

@werter:

Доброе.
Подписку на загрузку правил snort оформили?

Приветствую.
Да, Oinkmaster Code получил, указан в настройках Snort. Не подгружаются только правила из Snort OpenAppID RULES Detectors, а Snort OpenAppID Detectors без проблем обновляются.

werter · Jul 14, 2017, 6:04 AM

Доброе.
Сразу же в гугле по Snort OpenAppID RULES detectors md5 download failed

https://forum.pfsense.org/index.php?topic=125749.0
https://forum.pfsense.org/index.php?topic=123775.0
https://forum.pfsense.org/index.php?topic=114960.0

AFZ · Jul 14, 2017, 8:02 AM

@werter:

Доброе.
Сразу же в гугле по Snort OpenAppID RULES detectors md5 download failed

https://forum.pfsense.org/index.php?topic=125749.0
https://forum.pfsense.org/index.php?topic=123775.0
https://forum.pfsense.org/index.php?topic=114960.0

Видел эти посты, у меня несколько другая проблема ведь: Resolving timed out after 15580 milliseconds. Сейчас включил препроцессор сканирования портов в настройках Snort, и сейчас даже лог обновлений не пишется. Неужели у всех без проблем подгружается данный рулсет? Сможете у себя установить пакет и попробовать просто подгрузить рулсет этот? Пойму, если не возникнет такого желания

werter · Jul 14, 2017, 9:25 AM

Может pfblocker мешает?

А чем suricata не устроила ? Пользую ее 2 года почти.

AFZ · Jul 14, 2017, 11:08 AM

@werter:

Может pfblocker мешает?

А чем suricata не устроила ? Пользую ее 2 года почти.

Возможно и сам pfBlockerNG блочит, отключал все авторулы созданные на основе алиасов по странам на WAN интерфейсе, все равно не помогло. Интересно, что трассировка с самого PF до s3.amazonaws.com проходит за 15 хопов и за 161.313 мс. По логике если бы pfBlockerNG блочил, то трассировка не шла, или он блочит не домен, а именно ip нужные…, хотя хост опять же резольвится нормально. Знать бы точно откуда прогружаются рулсеты.
Ну а почему Хрюша, а не Шурик ))) Не знаю, не до мук с выбором было, центральный филиал нагнули атаками, и долбили порядка 3 месяцев, поэтому нужны были контрмеры и выбирать было некогда. Кстати, Шурик вроде бы не работает с какими то рулсетами от Snort'а или уже допилили?

werter · Jul 15, 2017, 10:27 AM

Доброе.
Suicata с самого своего появления пользовала и\или свои правила и\или правила snort. Люди не велосипедят. И правильно делают.

PbIXTOP · Jul 17, 2017, 3:06 AM

@AFZ:

Возможно и сам pfBlockerNG блочит, отключал все авторулы созданные на основе алиасов по странам на WAN интерфейсе, все равно не помогло. Интересно, что трассировка с самого PF до s3.amazonaws.com проходит за 15 хопов и за 161.313 мс. По логике если бы pfBlockerNG блочил, то трассировка не шла, или он блочит не домен, а именно ip нужные…, хотя хост опять же резольвится нормально

Стандартные правила обычно разрешают любые исходящие соединения с самого pfsense.

AFZ · Jul 17, 2017, 9:54 AM

@werter:

Доброе.
Suicata с самого своего появления пользовала и\или свои правила и\или правила snort. Люди не велосипедят. И правильно делают.

Значит попробую на следующем шлюзе обкатать Шурика. Ставил Сурикату на 2.2.6 релизе PF, насколько я помню, и там не было поддержки каких-то рулсетов Snort, гуглом выходил на эту ветку https://forum.pfsense.org/index.php?topic=83548.0

AFZ · Jul 17, 2017, 9:55 AM

@PbIXTOP:

@AFZ:

Возможно и сам pfBlockerNG блочит, отключал все авторулы созданные на основе алиасов по странам на WAN интерфейсе, все равно не помогло. Интересно, что трассировка с самого PF до s3.amazonaws.com проходит за 15 хопов и за 161.313 мс. По логике если бы pfBlockerNG блочил, то трассировка не шла, или он блочит не домен, а именно ip нужные…, хотя хост опять же резольвится нормально

Стандартные правила обычно разрешают любые исходящие соединения с самого pfsense.

Соглашусь, но из локальной сети результат аналогичен, в моем случае, проверил (((

AFZ · Jul 20, 2017, 7:32 AM

Поставил для обкатки Сурикату на PF 2.2.6, если не сложно поделитесь наработками, интересует набор отключенных правил в рулсетах, чтобы подгрузить в SID State Management. Хотелось бы лично ваши с минимальными комментами, по англоязычным веткам уже пробежался.

werter · Jul 20, 2017, 7:59 AM

Доброе.
Тут только сугубо индивидуально. Я вкл. все на WAN-ах и если что-то неккоректно блокировалось в моем случае - просто анализировал и откл.

Т.е. сурикату, как и люб. др IDPS нужно обучать некоторое время.

AFZ · Sep 1, 2017, 11:19 AM

Итак, обновил пакет Snort до версии 3.2.9.5. И видимо получил ответ на свой вопрос. Прямо под чекбоксом "Enable RULES OpenAppID" идет заметка, что правила поддерживаются волонтером, в частности каким-то Университетом в Бразилии, у которого сеть имеет фильтр GEO-IP и видимо, Россия залочена по диапазону адресов. Так же указана ссылка, видимо для проверки, у меня она не работает. Получается, pfBlockerNG не при чем.

werter · Sep 2, 2017, 12:01 PM

2 AFZ
Доброе.
Если это подсластит пилюлю, то не только из России нет доступа.