Snort OpenAppID RULES detectors md5 download failed
-
Может pfblocker мешает?
А чем suricata не устроила ? Пользую ее 2 года почти.
-
Может pfblocker мешает?
А чем suricata не устроила ? Пользую ее 2 года почти.
Возможно и сам pfBlockerNG блочит, отключал все авторулы созданные на основе алиасов по странам на WAN интерфейсе, все равно не помогло. Интересно, что трассировка с самого PF до s3.amazonaws.com проходит за 15 хопов и за 161.313 мс. По логике если бы pfBlockerNG блочил, то трассировка не шла, или он блочит не домен, а именно ip нужные…, хотя хост опять же резольвится нормально. Знать бы точно откуда прогружаются рулсеты.
Ну а почему Хрюша, а не Шурик ))) Не знаю, не до мук с выбором было, центральный филиал нагнули атаками, и долбили порядка 3 месяцев, поэтому нужны были контрмеры и выбирать было некогда. Кстати, Шурик вроде бы не работает с какими то рулсетами от Snort'а или уже допилили? -
Доброе.
Suicata с самого своего появления пользовала и\или свои правила и\или правила snort. Люди не велосипедят. И правильно делают. -
@AFZ:
Возможно и сам pfBlockerNG блочит, отключал все авторулы созданные на основе алиасов по странам на WAN интерфейсе, все равно не помогло. Интересно, что трассировка с самого PF до s3.amazonaws.com проходит за 15 хопов и за 161.313 мс. По логике если бы pfBlockerNG блочил, то трассировка не шла, или он блочит не домен, а именно ip нужные…, хотя хост опять же резольвится нормально
Стандартные правила обычно разрешают любые исходящие соединения с самого pfsense.
-
Доброе.
Suicata с самого своего появления пользовала и\или свои правила и\или правила snort. Люди не велосипедят. И правильно делают.Значит попробую на следующем шлюзе обкатать Шурика. Ставил Сурикату на 2.2.6 релизе PF, насколько я помню, и там не было поддержки каких-то рулсетов Snort, гуглом выходил на эту ветку https://forum.pfsense.org/index.php?topic=83548.0
-
@AFZ:
Возможно и сам pfBlockerNG блочит, отключал все авторулы созданные на основе алиасов по странам на WAN интерфейсе, все равно не помогло. Интересно, что трассировка с самого PF до s3.amazonaws.com проходит за 15 хопов и за 161.313 мс. По логике если бы pfBlockerNG блочил, то трассировка не шла, или он блочит не домен, а именно ip нужные…, хотя хост опять же резольвится нормально
Стандартные правила обычно разрешают любые исходящие соединения с самого pfsense.
Соглашусь, но из локальной сети результат аналогичен, в моем случае, проверил (((
-
Поставил для обкатки Сурикату на PF 2.2.6, если не сложно поделитесь наработками, интересует набор отключенных правил в рулсетах, чтобы подгрузить в SID State Management. Хотелось бы лично ваши с минимальными комментами, по англоязычным веткам уже пробежался.
-
Доброе.
Тут только сугубо индивидуально. Я вкл. все на WAN-ах и если что-то неккоректно блокировалось в моем случае - просто анализировал и откл.Т.е. сурикату, как и люб. др IDPS нужно обучать некоторое время.
-
Итак, обновил пакет Snort до версии 3.2.9.5. И видимо получил ответ на свой вопрос. Прямо под чекбоксом "Enable RULES OpenAppID" идет заметка, что правила поддерживаются волонтером, в частности каким-то Университетом в Бразилии, у которого сеть имеет фильтр GEO-IP и видимо, Россия залочена по диапазону адресов. Так же указана ссылка, видимо для проверки, у меня она не работает. Получается, pfBlockerNG не при чем.
-
2 AFZ
Доброе.
Если это подсластит пилюлю, то не только из России нет доступа.
