Configurazione di snort
-
Ciao a tutti,
sto googlando all'infinito per l'installazione di snort.... provato tutte le interfacce, solo LAN, solo WAN, entrambe, ma il risultato è sempre lo stesso: i test ransomware vengono completati senza che snort intervenga.Qualcuno è riuscito a farlo andare?
Grazie a tutti -
Mai usato... ma... se mi permetti... "non funziona" non è un'informazione utile... quale guida hai seguito? Aiutaci ad aiutarti... ;)
-
@fumetto scusa hai ragione...mi sono proprio comportato da "utonto".
Ho seguito la guida presente in pfsense italy, adattandola alla versione 2.4.4 in uso
https://www.pfsenseitaly.com/2012/08/trasformare-pfsense-in-un-sistema-idsips.htmlNon sono nemmeno sicuro che i test ransomware possano portare a risultati certi, o meglio, non so se effettivamente fanno il loro dovere o se scaricano al momento della richiesta tutto il "payload" senza andare a contattare server esterni per la generazione delle chiavi...
Insomma...come può pfsense proteggere da ransomware?
Grazie
-
Ok. Seguendo quella guida ho attivato snort e "pare" che qualcosa quantomeno "logghi"...
Tu che problemi riscontri? Di quali test parli? -
Ho provato alcuni tool per simulare un attacco ransomware, tra cui in particolare
https://www.barkly.com/stackhackrSembra non venga filtrato o loggato nulla...
Magari sto utilizzando anche tool che generano più falsi positivi, ma vorrei effettivamente poter avere evidenza del funzionamento prima di metterlo in produzione con certezza... -
Ciao,
più che snort io utilizzerei pfblocker con qualche lista per il blocco di ip legati ad attività ransomware.
Poi comunque snort può essere utili per identificare traffico anomalo sia in ingresso (se pubblichi servizi) sia in uscita per individuare comportamenti anomali.
Ciao Fabio -
Qui trovi qualche lista
https://ransomwaretracker.abuse.ch/blocklist/
Fabio -
Grazie Fabio, in genere quale consigli?
Andrea
-
Puoi usare queste https://ransomwaretracker.abuse.ch/blocklist/
Se fai una ricerca con google ne puoi trovare altre, ora non ho sottomano quelle che uso normalmente
Ciao Fabio -
Usi le tre combined list in testa?
Grazie,
Andrea