Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Probemi di connessione con SNORT

    Italiano
    4
    17
    981
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • federicop
      federicop last edited by

      Buongiorno…. in questi ho installato per maggior sicurezza alcuni pacchetti (pfBlocker e Snort).

      premetto che non sono un esperto in sicurezza e firewall ma sto cercando di muovermi in questo mondo affascinante.

      Da quanto ho potuto capire, leggendo e studiando, il blocco Firewall-pfBlocker-Snort, sono complementari tra loro e servono per risolvere problemi differenti.

      Il firewall permette di aprire/chiudere porte per indirizzi ip specifici (singoli o range) configurando Rules;
      pfBlocker permette tramite alcuni link di avere degli indirizzi ip specifici considerati spam sempre aggiornati, quindi va ad interagire con il firewall e i Rules (sopracitati)
      Snort permette di analizzare il traffico in ingresso e in uscita ed effettua azioni sul su flusso dati "anomalo" tipo bloccare un ip per un determinato tempo (Remove Blocked Hosts Interval - io ho messo un ora); (non ho ben capito dove posso impostare il "livello" di anomalo e se si può fare)

      detto ciò, se ho interpretato bene avendo configurato le cose con questa logica dovrebbe funzionare tutto.

      in realtà da quando ho installato Snort (solo Wan) ho questo problema:
      sembra che per un determinato range di tempo io non possa fare certe azioni;
      tipo il mio server di posta in uscita, mi lascia in coda di uscita messaggi normal;
      alcuni siti non si aprono (es. vodafone) poi se aggiorno la pagina la carica ma parzialmente poi si riblocca;
      Con un client open VPN mi collego tranquillamente, poi mi scollego dopo un attimo tento di ricollegarmi e non riesco a farlo, riprovo dopo un oretta e mi fa ricollegare;

      cercando di capire ho trovato anche un'anomalia nel traffico, cioè guardando il grafico che allego c'è traffico in uscita dalla Lan out che la Wan in blocca e non fa uscire, ho controllato  la provenienza e si tratta di un ip interno alla rete che però ho inserito sia su Snort sia nei Rule con WhiteList e passaggio ok (in quanto ok).

      però nonostante sia in WhiteList e passaggio ok (in quanto ok) il firewall lo blocca lo stesso, quindi non essendo molto esperto non capisco se Snort vedendo questo traffico anomalo mi mette in Blacklist e  mi sospende il traffico oppure dipende da altro....

      scusate la lugaggine e spero di essermi spiegato.
      grazie

      pfsense v. 2.4.2
      pfblocker v. 2.1.2_2
      snort v. 3.2.9.5_4


      1 Reply Last reply Reply Quote 0
      • federicop
        federicop last edited by

        nessuno?  :'(

        1 Reply Last reply Reply Quote 0
        • federicop
          federicop last edited by

          Allora…. ho fatto questo controllo, apro una pagina web "normale" sito La repubblica e

          il firewall
          Dec 15 08:27 LAN X.X.X.XMIO PC 104.106.82.165:80

          allert di snorc
          2017-12-15
          08:09:18 3 TCP Not Suspicious Traffic WAN X.X.X.X
            13144 104.106.82.165
              80 119:2
            (http_inspect) DOUBLE DECODING ATTACK

          :o :o

          sospetto che abbia configurato WAN categori e WAN rules dentro snort..... allego le immagini delle mie configurazioni




          1 Reply Last reply Reply Quote 0
          • federicop
            federicop last edited by

            Altra prova fatta…. disattivo il servizio di snort e funziona tutto... cioè le pagine che un attimo prima si bloccavano funzionano, quindi è quasi certo che ho configurato male i parametri di snort.

            risultato che voglio ottenere è meggiore sicurezza per attacchi dall'esterno ed eventualmente isolare per x tempo un ip che sta "attacando" in maniera anomala, ma la rete interna deve essere "libera"

            grazie

            1 Reply Last reply Reply Quote 0
            • A
              alverman last edited by

              Sarei interessato anch'io ….
              ho disattivato snort per lo stesso problema

              1 Reply Last reply Reply Quote 0
              • federicop
                federicop last edited by

                Aggiornamento….
                Andando per gradi dopo aver disattivato snort alcune anomalie erano rimaste (posta in coda e traffico lan wan con grafico identico).

                Per la posta ho cambiato il server host e tutto funziona per il momento e per il traffico lan wan era solo un determinato sito che causava quel grafico.... chiudendolo torna tutto a posto.

                Per il resto inizio ad avere sospetti che possa dipendere da qualche problema con il dns

                1 Reply Last reply Reply Quote 0
                • federicop
                  federicop last edited by

                  Nessuno???  :'( :'( :o :(

                  1 Reply Last reply Reply Quote 0
                  • federicop
                    federicop last edited by

                    Aggiornamento:

                    ho installato e configurato Suricata, e con questo Package funziona tutto (cioè non ho gli stessi problemi che con Snort), quindi deduco che sia un problema di Snort  (bag di versione) o di qualche parametro di configurazione errato, che però non riesco a capire quale sia…..

                    aggiornamenti alla prossima puntata  ;D

                    1 Reply Last reply Reply Quote 0
                    • fabio.vigano
                      fabio.vigano last edited by

                      Ciao,
                      non ci sono bug.
                      Snort è complesso da configurare e l'errore più comune è attivare tutto senza sapere cosa si sta facendo. Il risultato è che a volte l'anche l'IP del router della connettività viene bannato e bloccato  ;D

                      L'utilizzo di packages come quelli da te indicati ha senso se utilizzati per uno scopo specifico e se si pubblicano servizi. Non farei nemmeno mischioni perchè per farli bisognerebbe sapere a che livello della comunicazione ogni pacchetto va ad inserirsi altrimenti in caso di problemi sei rovinato (sempre che non interferiscano tra loro). Poi se il firewall è completamente chiuso dall'esterno, perdono di segnificato.
                      Ti faccio un esempio stupido ma che rende l'idea.
                      Poniamo che tu abbia un locale e voglia controllare il pubblico che accede, alla porta metti un bodyguard, poi decidi di fare controlli antidroga e ci metti la finanza con i cani, poi vuoi aumentare il livello di sicurezza e ci metti la polizia. Non stai aumentando la sicurezza, stai facendo un gran casino e se poi per assurdo non devi nemmeno far entrare nessuno  (non hai servizi esposti su internet) stai facendo controlli inutili.

                      Ti faccio riflettere su un'altro punto: tu stai filtrando la WAN, com'è che ti blocca il traffico in uscita?

                      Ciao Fabio

                      1 Reply Last reply Reply Quote 0
                      • federicop
                        federicop last edited by

                        Ciao Fabio, intanto grazie per il tempo dedicato a rispondere!

                        Condivido in pieno ciò che dici infatti il mio post era per cercare di capire e risolvere! Come detto é la prima volta che mi affaccio a snort!

                        Per le riflessioni che mi proponi ti ringrazio, ma fino al quel punto c'ero arrivato (cioè pormi la domanda: tu stai filtrando la WAN, com'è che ti blocca il traffico in uscita)….

                        Quindi potresti darmi/darci spunti su dove andare a lavorare per risolvere i problemi citati ?

                        Grazie.

                        Per quanto mi riguarda oltre che controllare chi viaggia nelle mie porte ho scelto snort perché ha una funzione interessante, e cioè quella del blocco di ip per un determinato tempo (che il firewall rileva nn consono)

                        Tenere alla "lontana" eventuali rompiscatole

                        1 Reply Last reply Reply Quote 0
                        • S
                          sisko212 last edited by

                          Snort è complesso.
                          Se lo configuri attivando tutto, c'è il richio che ti banna anche la lan.
                          Ti conviene configurarlo senza attivare il ban (solo log), e magari con le opzioni predefinite, tipo "connectivity" o "balancing".
                          Così hai modo di vedere i log che ti crea e solo successivamente decidere se attivare o meno il ban e su quali regole.

                          1 Reply Last reply Reply Quote 0
                          • federicop
                            federicop last edited by

                            Scusa ma che differenza c'è con Suricata?
                            cioè Sucirca configurato funziona piuttosto bene…...

                            Una differenza che mi sembra di aver visto che Snort  più essere configurato per l'aggiornamento automatico dei rules?

                            1 Reply Last reply Reply Quote 0
                            • S
                              sisko212 last edited by

                              Non conosco Suricata, so solo che è un alternativa a Snort.
                              Personalmente, per ragioni storiche ho usato solo Snort, anche se all'inizio è un pò una "rogna", poi come tutto, si impara a gestirlo (almeno per quello che serve nel mio caso).
                              Per le regole, Snort offre di due versioni, una free ed una a pagamento.
                              Per poter usare quelle free, bisogna iscriversi e farsi rilasciare uno Snort Oinkmaster Code, da inserire poi nel pfsense.
                              Maggiori informazioni le trovi nella documentazione di pfsense:
                              https://doc.pfsense.org/index.php/Setup_Snort_Package
                              Però mi sembra strano che Suricata non abbia un meccanismo simile con la lista delle rules.
                              Come sarebbe altrimenti possibile tenerlo aggiornato con le vulnerabilità nuove che si vengono ad indentificare ?

                              1 Reply Last reply Reply Quote 0
                              • federicop
                                federicop last edited by

                                Confermo che Suricata ha una sezione Update e addirittura collegata alla lista Snort dove ci si deve iscrivere…....

                                sarebbe interessante capire le differenze dei due prodotti, ma lascio ai più esperti tale compito....

                                ho due domande (visto che i meccanismi sono simili)

                                Quando ricevo un alert/blocco in Suricata vado nella lista, clicco sul pulsante + e l'ip bloccato viene inserito in automatico nella lista "pass" solo che necessita di due o tre minuti affinché tale modifica sia efficace, cioè che l'ip non venga bloccato.... (perchè?) tempo di risposta di pfsense?

                                Ricevo degli alert lan da un MAC adress che ovviamente non riesco a risolvere per capire a quale ip corrisponda - conoscete un modo per risalire a quale ip corrisponda?

                                1 Reply Last reply Reply Quote 0
                                • S
                                  sisko212 last edited by

                                  Per il tempo di sblocco:
                                  Pfsense non c'entra nulla. Forse e come snort che devi eliminatlo dalla block list temporanea.

                                  Per l'Ip-Mac
                                  Guarda l' Arp table.

                                  1 Reply Last reply Reply Quote 0
                                  • federicop
                                    federicop last edited by

                                    per il tempo di blocco… ho messo 15 min quindi se fosse quello dovrei attendere quel tempo e non 2/3 min... ma forse deve "allinearsi" il DNS... continuerò a testare

                                    per ip-mac ci avevo pensato ma mi ero dimenticato di farlo!  :)

                                    1 Reply Last reply Reply Quote 0
                                    • federicop
                                      federicop last edited by

                                      Non mi ero di menticato di farlo… l'avevo fatto ma mi ero accorto che quello che mi dava il messaggio di alerta non era un MAC Adress ma qualche cosa di simile

                                      LAN
                                      Surce [fe80::84aa:e973:44dd:2079]:56433
                                      Destination [ff02::1:3]:5355

                                      qualche suggerimento?

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post

                                      Products

                                      • Platform Overview
                                      • TNSR
                                      • pfSense
                                      • Appliances

                                      Services

                                      • Training
                                      • Professional Services

                                      Support

                                      • Subscription Plans
                                      • Contact Support
                                      • Product Lifecycle
                                      • Documentation

                                      News

                                      • Media Coverage
                                      • Press
                                      • Events

                                      Resources

                                      • Blog
                                      • FAQ
                                      • Find a Partner
                                      • Resource Library
                                      • Security Information

                                      Company

                                      • About Us
                                      • Careers
                                      • Partners
                                      • Contact Us
                                      • Legal
                                      Our Mission

                                      We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                      Subscribe to our Newsletter

                                      Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                      © 2021 Rubicon Communications, LLC | Privacy Policy