Snort OpenAppID RULES detectors md5 download failed



  • Приветствую всех.
    Готовлю к запуску шлюз, возникли трудности с обновлением рулсетов Snort'а:

    Snort OpenAppID RULES detectors md5 download failed
    Server returned error code 0.
    Server error message was: Resolving timed out after 15577 milliseconds
    Snort OpenAppID RULES detectors will not be updated.

    Платформа: 2.3.4-RELEASE (amd64) 
    Пакеты: 2.1.1_8 pfBlockerNG, 3.2.9.3 Snort

    Остальные рулсеты подгружаются без проблем. Платформа ставилась чистой установкой, не обновлением.
    Гуглеж на англоязычных ветках подсказки давал, что виновник pfBlockerNG, и блочит он amazonaws.com
    Нужны свежие мысли и подсказки.








  • Доброе.
    Подписку на загрузку правил snort оформили?



  • @werter:

    Доброе.
    Подписку на загрузку правил snort оформили?

    Приветствую.
    Да, Oinkmaster Code получил, указан в настройках Snort. Не подгружаются только правила из Snort OpenAppID RULES Detectors, а Snort OpenAppID Detectors без проблем обновляются.



  • Доброе.
    Сразу же в гугле по Snort OpenAppID RULES detectors md5 download failed

    https://forum.pfsense.org/index.php?topic=125749.0
    https://forum.pfsense.org/index.php?topic=123775.0
    https://forum.pfsense.org/index.php?topic=114960.0



  • @werter:

    Доброе.
    Сразу же в гугле по Snort OpenAppID RULES detectors md5 download failed

    https://forum.pfsense.org/index.php?topic=125749.0
    https://forum.pfsense.org/index.php?topic=123775.0
    https://forum.pfsense.org/index.php?topic=114960.0

    Видел эти посты, у меня несколько другая проблема ведь: Resolving timed out after 15580 milliseconds. Сейчас включил препроцессор сканирования портов в настройках Snort, и сейчас даже лог обновлений не пишется. Неужели у всех без проблем подгружается данный рулсет? Сможете у себя установить пакет и попробовать просто подгрузить рулсет этот? Пойму, если не возникнет такого желания






  • Может pfblocker мешает?

    А чем suricata не устроила ? Пользую ее 2 года почти.



  • @werter:

    Может pfblocker мешает?

    А чем suricata не устроила ? Пользую ее 2 года почти.

    Возможно и сам pfBlockerNG блочит, отключал все авторулы созданные на основе алиасов по странам на WAN интерфейсе, все равно не помогло. Интересно, что трассировка с самого PF до s3.amazonaws.com проходит за 15 хопов и за 161.313 мс. По логике если бы pfBlockerNG блочил, то трассировка не шла, или он блочит не домен, а именно ip нужные…, хотя хост опять же резольвится нормально. Знать бы точно откуда прогружаются рулсеты.
    Ну а почему Хрюша, а не Шурик ))) Не знаю, не до мук с выбором было, центральный филиал нагнули атаками, и долбили порядка 3 месяцев, поэтому нужны были контрмеры и выбирать было некогда. Кстати, Шурик вроде бы не работает с какими то рулсетами от Snort'а или уже допилили?



  • Доброе.
    Suicata с самого своего появления пользовала и\или свои правила и\или правила snort. Люди не велосипедят. И правильно делают.



  • @AFZ:

    Возможно и сам pfBlockerNG блочит, отключал все авторулы созданные на основе алиасов по странам на WAN интерфейсе, все равно не помогло. Интересно, что трассировка с самого PF до s3.amazonaws.com проходит за 15 хопов и за 161.313 мс. По логике если бы pfBlockerNG блочил, то трассировка не шла, или он блочит не домен, а именно ip нужные…, хотя хост опять же резольвится нормально

    Стандартные правила обычно разрешают любые исходящие соединения с самого pfsense.



  • @werter:

    Доброе.
    Suicata с самого своего появления пользовала и\или свои правила и\или правила snort. Люди не велосипедят. И правильно делают.

    Значит попробую на следующем шлюзе обкатать Шурика. Ставил Сурикату на 2.2.6 релизе PF, насколько я помню, и там не было поддержки каких-то рулсетов Snort, гуглом выходил на эту ветку https://forum.pfsense.org/index.php?topic=83548.0



  • @PbIXTOP:

    @AFZ:

    Возможно и сам pfBlockerNG блочит, отключал все авторулы созданные на основе алиасов по странам на WAN интерфейсе, все равно не помогло. Интересно, что трассировка с самого PF до s3.amazonaws.com проходит за 15 хопов и за 161.313 мс. По логике если бы pfBlockerNG блочил, то трассировка не шла, или он блочит не домен, а именно ip нужные…, хотя хост опять же резольвится нормально

    Стандартные правила обычно разрешают любые исходящие соединения с самого pfsense.

    Соглашусь, но из локальной сети результат аналогичен, в моем случае, проверил (((



  • Поставил для обкатки Сурикату на PF 2.2.6, если не сложно поделитесь наработками, интересует набор отключенных правил в рулсетах, чтобы подгрузить в SID State Management. Хотелось бы лично ваши с минимальными комментами, по англоязычным веткам уже пробежался.



  • Доброе.
    Тут только сугубо индивидуально. Я вкл. все на WAN-ах и если что-то неккоректно блокировалось в моем случае - просто анализировал и откл.

    Т.е. сурикату, как и люб. др IDPS нужно обучать некоторое время.



  • Итак, обновил пакет Snort до версии 3.2.9.5. И видимо получил ответ на свой вопрос. Прямо под чекбоксом "Enable RULES OpenAppID" идет заметка, что правила поддерживаются волонтером, в частности каким-то Университетом в Бразилии, у которого сеть имеет фильтр GEO-IP и видимо, Россия залочена по диапазону адресов. Так же указана ссылка, видимо для проверки, у меня она не работает. Получается, pfBlockerNG не при чем.




  • 2 AFZ
    Доброе.
    Если это подсластит пилюлю, то не только из России нет доступа.


Log in to reply