Probemi di connessione con SNORT
-
Aggiornamento:
ho installato e configurato Suricata, e con questo Package funziona tutto (cioè non ho gli stessi problemi che con Snort), quindi deduco che sia un problema di Snort (bag di versione) o di qualche parametro di configurazione errato, che però non riesco a capire quale sia…..
aggiornamenti alla prossima puntata ;D
-
Ciao,
non ci sono bug.
Snort è complesso da configurare e l'errore più comune è attivare tutto senza sapere cosa si sta facendo. Il risultato è che a volte l'anche l'IP del router della connettività viene bannato e bloccato ;DL'utilizzo di packages come quelli da te indicati ha senso se utilizzati per uno scopo specifico e se si pubblicano servizi. Non farei nemmeno mischioni perchè per farli bisognerebbe sapere a che livello della comunicazione ogni pacchetto va ad inserirsi altrimenti in caso di problemi sei rovinato (sempre che non interferiscano tra loro). Poi se il firewall è completamente chiuso dall'esterno, perdono di segnificato.
Ti faccio un esempio stupido ma che rende l'idea.
Poniamo che tu abbia un locale e voglia controllare il pubblico che accede, alla porta metti un bodyguard, poi decidi di fare controlli antidroga e ci metti la finanza con i cani, poi vuoi aumentare il livello di sicurezza e ci metti la polizia. Non stai aumentando la sicurezza, stai facendo un gran casino e se poi per assurdo non devi nemmeno far entrare nessuno (non hai servizi esposti su internet) stai facendo controlli inutili.Ti faccio riflettere su un'altro punto: tu stai filtrando la WAN, com'è che ti blocca il traffico in uscita?
Ciao Fabio
-
Ciao Fabio, intanto grazie per il tempo dedicato a rispondere!
Condivido in pieno ciò che dici infatti il mio post era per cercare di capire e risolvere! Come detto é la prima volta che mi affaccio a snort!
Per le riflessioni che mi proponi ti ringrazio, ma fino al quel punto c'ero arrivato (cioè pormi la domanda: tu stai filtrando la WAN, com'è che ti blocca il traffico in uscita)….
Quindi potresti darmi/darci spunti su dove andare a lavorare per risolvere i problemi citati ?
Grazie.
Per quanto mi riguarda oltre che controllare chi viaggia nelle mie porte ho scelto snort perché ha una funzione interessante, e cioè quella del blocco di ip per un determinato tempo (che il firewall rileva nn consono)
Tenere alla "lontana" eventuali rompiscatole
-
Snort è complesso.
Se lo configuri attivando tutto, c'è il richio che ti banna anche la lan.
Ti conviene configurarlo senza attivare il ban (solo log), e magari con le opzioni predefinite, tipo "connectivity" o "balancing".
Così hai modo di vedere i log che ti crea e solo successivamente decidere se attivare o meno il ban e su quali regole. -
Scusa ma che differenza c'è con Suricata?
cioè Sucirca configurato funziona piuttosto bene…...Una differenza che mi sembra di aver visto che Snort più essere configurato per l'aggiornamento automatico dei rules?
-
Non conosco Suricata, so solo che è un alternativa a Snort.
Personalmente, per ragioni storiche ho usato solo Snort, anche se all'inizio è un pò una "rogna", poi come tutto, si impara a gestirlo (almeno per quello che serve nel mio caso).
Per le regole, Snort offre di due versioni, una free ed una a pagamento.
Per poter usare quelle free, bisogna iscriversi e farsi rilasciare uno Snort Oinkmaster Code, da inserire poi nel pfsense.
Maggiori informazioni le trovi nella documentazione di pfsense:
https://doc.pfsense.org/index.php/Setup_Snort_Package
Però mi sembra strano che Suricata non abbia un meccanismo simile con la lista delle rules.
Come sarebbe altrimenti possibile tenerlo aggiornato con le vulnerabilità nuove che si vengono ad indentificare ? -
Confermo che Suricata ha una sezione Update e addirittura collegata alla lista Snort dove ci si deve iscrivere…....
sarebbe interessante capire le differenze dei due prodotti, ma lascio ai più esperti tale compito....
ho due domande (visto che i meccanismi sono simili)
Quando ricevo un alert/blocco in Suricata vado nella lista, clicco sul pulsante + e l'ip bloccato viene inserito in automatico nella lista "pass" solo che necessita di due o tre minuti affinché tale modifica sia efficace, cioè che l'ip non venga bloccato.... (perchè?) tempo di risposta di pfsense?
Ricevo degli alert lan da un MAC adress che ovviamente non riesco a risolvere per capire a quale ip corrisponda - conoscete un modo per risalire a quale ip corrisponda?
-
Per il tempo di sblocco:
Pfsense non c'entra nulla. Forse e come snort che devi eliminatlo dalla block list temporanea.Per l'Ip-Mac
Guarda l' Arp table. -
per il tempo di blocco… ho messo 15 min quindi se fosse quello dovrei attendere quel tempo e non 2/3 min... ma forse deve "allinearsi" il DNS... continuerò a testare
per ip-mac ci avevo pensato ma mi ero dimenticato di farlo! :)
-
Non mi ero di menticato di farlo… l'avevo fatto ma mi ero accorto che quello che mi dava il messaggio di alerta non era un MAC Adress ma qualche cosa di simile
LAN
Surce [fe80::84aa:e973:44dd:2079]:56433
Destination [ff02::1:3]:5355qualche suggerimento?