Configuration OpenAPPID



  • Bonjour,

    Pour ce qui ont déjà configurer, l'openappid, j'aurai des questions…

    Contexte : Cas personnel

    Besoin : En une phrase ?  Normalement, le port 22 c'est le SSH. Si autre chose passe je voudrais le bloquer, c'est comme le filtrage de protocole.

    Je voudrais faire ça avec le HTTP , HTTPS, SSH...

    Pistes imaginées : J'ai vu que OpenAPPID pouvait alerter et bloquer...

    Dans un premier temps, j'ai voulu faire un test avec twitter, ça a fonctionné avec succès.

    voici ce que j'ai mis dans "custom.rule" = alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"twitter";flow:from_client;appid:twitter; sid:70656 ; classtype:misc-activity; rev:1;)

    J'ai lancé la page twitter et ça m'a bloqué directement.

    Donc je  suis lancé sur le http... Mais sans façon...

    Dans un premier temps, j'avais fait

    alert ip any any -> any !80 (msg:"Pas autorisé HTTP"; appid: http; sid: 1000000 ; classtype:misc-activity; rev:1;)

    Mais sans succès... parce qu'il m'affiche des alertes en boucles...

    Puis j'ai essayé de fouiller dans le forum de Pfsense, j'ai pu trouver ça :

    alert tcp $HOME_NET any -> $EXTERNAL_NET ![80,8080] (msg:"HTTP Port Unauthorized"; appid: http; classtype:policy-violation; sid:12171008; rev:1;)

    Là ça partait bien car il y avait plus d'alerte, et aussi pour tester et essayer d'afficher une alerte, j'utilise le ssh avec la commande

    "ssh -p 80 8.8.8.8"

    Mais sans résultat..

    J'ai aussi vu pour le ssh, mais pareil, ça ne fonctionne pas.

    alert ip any any ->any 22 (msg: "PORT 22 mais PAS SSH"; appid :!ssh !openssh; classtype:policy-violation; sid:888999;rev:1;)

    J'essaie souvent de m'appuyer sur des exemples, mais je dois oublier une étape quelques part, pouvez vous m'éclairer?

    Cordialement,

    Cruur