Configuration OpenAPPID
-
Bonjour,
Pour ce qui ont déjà configurer, l'openappid, j'aurai des questions…
Contexte : Cas personnel
Besoin : En une phrase ? Normalement, le port 22 c'est le SSH. Si autre chose passe je voudrais le bloquer, c'est comme le filtrage de protocole.
Je voudrais faire ça avec le HTTP , HTTPS, SSH...
Pistes imaginées : J'ai vu que OpenAPPID pouvait alerter et bloquer...
Dans un premier temps, j'ai voulu faire un test avec twitter, ça a fonctionné avec succès.
voici ce que j'ai mis dans "custom.rule" = alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"twitter";flow:from_client;appid:twitter; sid:70656 ; classtype:misc-activity; rev:1;)
J'ai lancé la page twitter et ça m'a bloqué directement.
Donc je suis lancé sur le http... Mais sans façon...
Dans un premier temps, j'avais fait
alert ip any any -> any !80 (msg:"Pas autorisé HTTP"; appid: http; sid: 1000000 ; classtype:misc-activity; rev:1;)
Mais sans succès... parce qu'il m'affiche des alertes en boucles...
Puis j'ai essayé de fouiller dans le forum de Pfsense, j'ai pu trouver ça :
alert tcp $HOME_NET any -> $EXTERNAL_NET ![80,8080] (msg:"HTTP Port Unauthorized"; appid: http; classtype:policy-violation; sid:12171008; rev:1;)
Là ça partait bien car il y avait plus d'alerte, et aussi pour tester et essayer d'afficher une alerte, j'utilise le ssh avec la commande
"ssh -p 80 8.8.8.8"
Mais sans résultat..
J'ai aussi vu pour le ssh, mais pareil, ça ne fonctionne pas.
alert ip any any ->any 22 (msg: "PORT 22 mais PAS SSH"; appid :!ssh !openssh; classtype:policy-violation; sid:888999;rev:1;)
J'essaie souvent de m'appuyer sur des exemples, mais je dois oublier une étape quelques part, pouvez vous m'éclairer?
Cordialement,
Cruur