Probemi di connessione con SNORT

federicop

Buongiorno…. in questi ho installato per maggior sicurezza alcuni pacchetti (pfBlocker e Snort).

premetto che non sono un esperto in sicurezza e firewall ma sto cercando di muovermi in questo mondo affascinante.

Da quanto ho potuto capire, leggendo e studiando, il blocco Firewall-pfBlocker-Snort, sono complementari tra loro e servono per risolvere problemi differenti.

Il firewall permette di aprire/chiudere porte per indirizzi ip specifici (singoli o range) configurando Rules;
pfBlocker permette tramite alcuni link di avere degli indirizzi ip specifici considerati spam sempre aggiornati, quindi va ad interagire con il firewall e i Rules (sopracitati)
Snort permette di analizzare il traffico in ingresso e in uscita ed effettua azioni sul su flusso dati "anomalo" tipo bloccare un ip per un determinato tempo (Remove Blocked Hosts Interval - io ho messo un ora); (non ho ben capito dove posso impostare il "livello" di anomalo e se si può fare)

detto ciò, se ho interpretato bene avendo configurato le cose con questa logica dovrebbe funzionare tutto.

in realtà da quando ho installato Snort (solo Wan) ho questo problema:
sembra che per un determinato range di tempo io non possa fare certe azioni;
tipo il mio server di posta in uscita, mi lascia in coda di uscita messaggi normal;
alcuni siti non si aprono (es. vodafone) poi se aggiorno la pagina la carica ma parzialmente poi si riblocca;
Con un client open VPN mi collego tranquillamente, poi mi scollego dopo un attimo tento di ricollegarmi e non riesco a farlo, riprovo dopo un oretta e mi fa ricollegare;

cercando di capire ho trovato anche un'anomalia nel traffico, cioè guardando il grafico che allego c'è traffico in uscita dalla Lan out che la Wan in blocca e non fa uscire, ho controllato  la provenienza e si tratta di un ip interno alla rete che però ho inserito sia su Snort sia nei Rule con WhiteList e passaggio ok (in quanto ok).

però nonostante sia in WhiteList e passaggio ok (in quanto ok) il firewall lo blocca lo stesso, quindi non essendo molto esperto non capisco se Snort vedendo questo traffico anomalo mi mette in Blacklist e  mi sospende il traffico oppure dipende da altro....

scusate la lugaggine e spero di essermi spiegato.
grazie

pfsense v. 2.4.2
pfblocker v. 2.1.2_2
snort v. 3.2.9.5_4

federicop

nessuno?  :'(

federicop

Allora…. ho fatto questo controllo, apro una pagina web "normale" sito La repubblica e

il firewall
Dec 15 08:27 LAN X.X.X.XMIO PC 104.106.82.165:80

allert di snorc
2017-12-15
08:09:18 3 TCP Not Suspicious Traffic WAN X.X.X.X
  13144 104.106.82.165
    80 119:2
  (http_inspect) DOUBLE DECODING ATTACK

:o :o

sospetto che abbia configurato WAN categori e WAN rules dentro snort..... allego le immagini delle mie configurazioni

federicop

Altra prova fatta…. disattivo il servizio di snort e funziona tutto... cioè le pagine che un attimo prima si bloccavano funzionano, quindi è quasi certo che ho configurato male i parametri di snort.

risultato che voglio ottenere è meggiore sicurezza per attacchi dall'esterno ed eventualmente isolare per x tempo un ip che sta "attacando" in maniera anomala, ma la rete interna deve essere "libera"

grazie

alverman

Sarei interessato anch'io ….
ho disattivato snort per lo stesso problema

federicop

Aggiornamento….
Andando per gradi dopo aver disattivato snort alcune anomalie erano rimaste (posta in coda e traffico lan wan con grafico identico).

Per la posta ho cambiato il server host e tutto funziona per il momento e per il traffico lan wan era solo un determinato sito che causava quel grafico.... chiudendolo torna tutto a posto.

Per il resto inizio ad avere sospetti che possa dipendere da qualche problema con il dns

federicop

Nessuno???  :'( :'( :o :(

federicop

Aggiornamento:

ho installato e configurato Suricata, e con questo Package funziona tutto (cioè non ho gli stessi problemi che con Snort), quindi deduco che sia un problema di Snort  (bag di versione) o di qualche parametro di configurazione errato, che però non riesco a capire quale sia…..

aggiornamenti alla prossima puntata  ;D

fabio.vigano

Ciao,
non ci sono bug.
Snort è complesso da configurare e l'errore più comune è attivare tutto senza sapere cosa si sta facendo. Il risultato è che a volte l'anche l'IP del router della connettività viene bannato e bloccato  ;D

L'utilizzo di packages come quelli da te indicati ha senso se utilizzati per uno scopo specifico e se si pubblicano servizi. Non farei nemmeno mischioni perchè per farli bisognerebbe sapere a che livello della comunicazione ogni pacchetto va ad inserirsi altrimenti in caso di problemi sei rovinato (sempre che non interferiscano tra loro). Poi se il firewall è completamente chiuso dall'esterno, perdono di segnificato.
Ti faccio un esempio stupido ma che rende l'idea.
Poniamo che tu abbia un locale e voglia controllare il pubblico che accede, alla porta metti un bodyguard, poi decidi di fare controlli antidroga e ci metti la finanza con i cani, poi vuoi aumentare il livello di sicurezza e ci metti la polizia. Non stai aumentando la sicurezza, stai facendo un gran casino e se poi per assurdo non devi nemmeno far entrare nessuno  (non hai servizi esposti su internet) stai facendo controlli inutili.

Ti faccio riflettere su un'altro punto: tu stai filtrando la WAN, com'è che ti blocca il traffico in uscita?

Ciao Fabio

federicop

Ciao Fabio, intanto grazie per il tempo dedicato a rispondere!

Condivido in pieno ciò che dici infatti il mio post era per cercare di capire e risolvere! Come detto é la prima volta che mi affaccio a snort!

Per le riflessioni che mi proponi ti ringrazio, ma fino al quel punto c'ero arrivato (cioè pormi la domanda: tu stai filtrando la WAN, com'è che ti blocca il traffico in uscita)….

Quindi potresti darmi/darci spunti su dove andare a lavorare per risolvere i problemi citati ?

Grazie.

Per quanto mi riguarda oltre che controllare chi viaggia nelle mie porte ho scelto snort perché ha una funzione interessante, e cioè quella del blocco di ip per un determinato tempo (che il firewall rileva nn consono)

Tenere alla "lontana" eventuali rompiscatole

sisko212

Snort è complesso.
Se lo configuri attivando tutto, c'è il richio che ti banna anche la lan.
Ti conviene configurarlo senza attivare il ban (solo log), e magari con le opzioni predefinite, tipo "connectivity" o "balancing".
Così hai modo di vedere i log che ti crea e solo successivamente decidere se attivare o meno il ban e su quali regole.

federicop

Scusa ma che differenza c'è con Suricata?
cioè Sucirca configurato funziona piuttosto bene…...

Una differenza che mi sembra di aver visto che Snort  più essere configurato per l'aggiornamento automatico dei rules?

sisko212

Non conosco Suricata, so solo che è un alternativa a Snort.
Personalmente, per ragioni storiche ho usato solo Snort, anche se all'inizio è un pò una "rogna", poi come tutto, si impara a gestirlo (almeno per quello che serve nel mio caso).
Per le regole, Snort offre di due versioni, una free ed una a pagamento.
Per poter usare quelle free, bisogna iscriversi e farsi rilasciare uno Snort Oinkmaster Code, da inserire poi nel pfsense.
Maggiori informazioni le trovi nella documentazione di pfsense:
https://doc.pfsense.org/index.php/Setup_Snort_Package
Però mi sembra strano che Suricata non abbia un meccanismo simile con la lista delle rules.
Come sarebbe altrimenti possibile tenerlo aggiornato con le vulnerabilità nuove che si vengono ad indentificare ?

federicop

Confermo che Suricata ha una sezione Update e addirittura collegata alla lista Snort dove ci si deve iscrivere…....

sarebbe interessante capire le differenze dei due prodotti, ma lascio ai più esperti tale compito....

ho due domande (visto che i meccanismi sono simili)

Quando ricevo un alert/blocco in Suricata vado nella lista, clicco sul pulsante + e l'ip bloccato viene inserito in automatico nella lista "pass" solo che necessita di due o tre minuti affinché tale modifica sia efficace, cioè che l'ip non venga bloccato.... (perchè?) tempo di risposta di pfsense?

Ricevo degli alert lan da un MAC adress che ovviamente non riesco a risolvere per capire a quale ip corrisponda - conoscete un modo per risalire a quale ip corrisponda?

sisko212

Per il tempo di sblocco:
Pfsense non c'entra nulla. Forse e come snort che devi eliminatlo dalla block list temporanea.

Per l'Ip-Mac
Guarda l' Arp table.

federicop

per il tempo di blocco… ho messo 15 min quindi se fosse quello dovrei attendere quel tempo e non 2/3 min... ma forse deve "allinearsi" il DNS... continuerò a testare

per ip-mac ci avevo pensato ma mi ero dimenticato di farlo!  :)

federicop

Non mi ero di menticato di farlo… l'avevo fatto ma mi ero accorto che quello che mi dava il messaggio di alerta non era un MAC Adress ma qualche cosa di simile

LAN
Surce [fe80::84aa:e973:44dd:2079]:56433
Destination [ff02::1:3]:5355

qualche suggerimento?