Snort OpenAppID RULES detectors md5 download failed

AFZ

Доброе.
Подписку на загрузку правил snort оформили?

Приветствую.
Да, Oinkmaster Code получил, указан в настройках Snort. Не подгружаются только правила из Snort OpenAppID RULES Detectors, а Snort OpenAppID Detectors без проблем обновляются.

werter

Доброе.
Сразу же в гугле по Snort OpenAppID RULES detectors md5 download failed

https://forum.pfsense.org/index.php?topic=125749.0
https://forum.pfsense.org/index.php?topic=123775.0
https://forum.pfsense.org/index.php?topic=114960.0

AFZ

@werter:

Доброе.
Сразу же в гугле по Snort OpenAppID RULES detectors md5 download failed

https://forum.pfsense.org/index.php?topic=125749.0
https://forum.pfsense.org/index.php?topic=123775.0
https://forum.pfsense.org/index.php?topic=114960.0

Видел эти посты, у меня несколько другая проблема ведь: Resolving timed out after 15580 milliseconds. Сейчас включил препроцессор сканирования портов в настройках Snort, и сейчас даже лог обновлений не пишется. Неужели у всех без проблем подгружается данный рулсет? Сможете у себя установить пакет и попробовать просто подгрузить рулсет этот? Пойму, если не возникнет такого желания

1.jpg_thumb

2.jpg_thumb

werter

Может pfblocker мешает?

А чем suricata не устроила ? Пользую ее 2 года почти.

AFZ

@werter:

Может pfblocker мешает?

А чем suricata не устроила ? Пользую ее 2 года почти.

Возможно и сам pfBlockerNG блочит, отключал все авторулы созданные на основе алиасов по странам на WAN интерфейсе, все равно не помогло. Интересно, что трассировка с самого PF до s3.amazonaws.com проходит за 15 хопов и за 161.313 мс. По логике если бы pfBlockerNG блочил, то трассировка не шла, или он блочит не домен, а именно ip нужные…, хотя хост опять же резольвится нормально. Знать бы точно откуда прогружаются рулсеты.
Ну а почему Хрюша, а не Шурик ))) Не знаю, не до мук с выбором было, центральный филиал нагнули атаками, и долбили порядка 3 месяцев, поэтому нужны были контрмеры и выбирать было некогда. Кстати, Шурик вроде бы не работает с какими то рулсетами от Snort'а или уже допилили?

werter

Доброе.
Suicata с самого своего появления пользовала и\или свои правила и\или правила snort. Люди не велосипедят. И правильно делают.

PbIXTOP

@AFZ:

Возможно и сам pfBlockerNG блочит, отключал все авторулы созданные на основе алиасов по странам на WAN интерфейсе, все равно не помогло. Интересно, что трассировка с самого PF до s3.amazonaws.com проходит за 15 хопов и за 161.313 мс. По логике если бы pfBlockerNG блочил, то трассировка не шла, или он блочит не домен, а именно ip нужные…, хотя хост опять же резольвится нормально

Стандартные правила обычно разрешают любые исходящие соединения с самого pfsense.

AFZ

@werter:

Доброе.
Suicata с самого своего появления пользовала и\или свои правила и\или правила snort. Люди не велосипедят. И правильно делают.

Значит попробую на следующем шлюзе обкатать Шурика. Ставил Сурикату на 2.2.6 релизе PF, насколько я помню, и там не было поддержки каких-то рулсетов Snort, гуглом выходил на эту ветку https://forum.pfsense.org/index.php?topic=83548.0

AFZ

@PbIXTOP:

@AFZ:

Возможно и сам pfBlockerNG блочит, отключал все авторулы созданные на основе алиасов по странам на WAN интерфейсе, все равно не помогло. Интересно, что трассировка с самого PF до s3.amazonaws.com проходит за 15 хопов и за 161.313 мс. По логике если бы pfBlockerNG блочил, то трассировка не шла, или он блочит не домен, а именно ip нужные…, хотя хост опять же резольвится нормально

Стандартные правила обычно разрешают любые исходящие соединения с самого pfsense.

Соглашусь, но из локальной сети результат аналогичен, в моем случае, проверил (((

AFZ

Поставил для обкатки Сурикату на PF 2.2.6, если не сложно поделитесь наработками, интересует набор отключенных правил в рулсетах, чтобы подгрузить в SID State Management. Хотелось бы лично ваши с минимальными комментами, по англоязычным веткам уже пробежался.

werter

Доброе.
Тут только сугубо индивидуально. Я вкл. все на WAN-ах и если что-то неккоректно блокировалось в моем случае - просто анализировал и откл.

Т.е. сурикату, как и люб. др IDPS нужно обучать некоторое время.

AFZ

Итак, обновил пакет Snort до версии 3.2.9.5. И видимо получил ответ на свой вопрос. Прямо под чекбоксом "Enable RULES OpenAppID" идет заметка, что правила поддерживаются волонтером, в частности каким-то Университетом в Бразилии, у которого сеть имеет фильтр GEO-IP и видимо, Россия залочена по диапазону адресов. Так же указана ссылка, видимо для проверки, у меня она не работает. Получается, pfBlockerNG не при чем.

Скрин.jpg
Скрин.jpg_thumb

werter

2 AFZ
Доброе.
Если это подсластит пилюлю, то не только из России нет доступа.