SNORT ne bloque aucune IP



  • Après avoir testé SmoothWall et IPcop, je suis passé sur pfSense et dois avouer que celà n'a rien à voir. Cependant, je rencontre un problème avec SNORT :

    • Chaque modification arrête le service et il est impossible de le redémarrer, sauf à passer par un reboot du serveur, ou à faire un snort -D dans le shell.

    • Aucune IP n'est bloquée, pourtant les logs montrent bien de multiple tentative d'attaques diverses.

    • Certaines règles sont désactivées par défaut.

    • Le fait que squid tourne également peut-il causer des problèmes ?

    Il y a t-il une installation particulière de SNORT, des modifications dans les fichiers de conf ou autre afin que le service fonctionne normalement ?

    Merci de vos réponses.



  • Ha Snort !
    Snort n'est pas fait pour bloquer quoique ce soit dans sa configuration par défaut. Snort est fait pour détecter des tentatives. Je ne suis donc pas surpris. Au delà je ne sais pas ce que vous avez configuré à ce propos.

    D'une façon plus générale un firewall, avec Snort et Squid, c'est de la folie. Ces deux applications devraient se trouver sur des machines séparées pour de multiples raisons, certaines propres à chacun de ses applicatifs. Les deux consomment beaucoup de ressources machines.

    Pour ce qui est de la configuration de Snort, il y a beaucoup de choses particulières à sa configuration. En premier lieu il faut adapter le jeu de règles à votre configuration. Il est en effet inutile de détecter et de remonter les attaques sur MS SQL server ou IIS si vous n'avez pas ces services sur votre réseau.

    Autre problème les positions respectives de snort et de squid dans le réseau sont assez différentes. Squid à sa place dans une dmz interne alors que Snort serait, du moins pour son interface d'écoute, devant le firewall (ce qui nécessite un switch avec un port span placé debant Pfsense). Encore faut il savoir quel trafic surveiller avec Snort. Et cela necessire une configuration de Snort avec deux interface physique une pour l'écoute sans ip, l'autre pour l'administration.

    Bref, comme j'ai la flemme de réécrire tout cela à chaque fois, vous trouverez plusieurs fils ici dans le forum français, comme sur le forum Ixus, traitant de Snort et de sa pertinence. Celle ci n'est pas discutable mais encore faut il pouvoir exploiter les alertes de Snort.

    Enfin, et c'est un principe de base, plus il y a de lignes de code moins un logiciel est fiable et sûr. S'agissant d'un composant critique de la sécurité du réseau, je ne transige pas avec cette règle.



  • Je suis d'accord, snort alerte et ne bloque pas par défaut, mais l'option est bien présente.
    Ensuite, ce n'est que dans un but de test, que plusieurs services sont sur la même machine. Mais, n'aimant pas rester sur un échec et souhaitant comprendre pourquoi celà ne fonctionne pas, je me suis décidé à poser la question.

    En tout cas je vous remercie de votre réponse.



  • Dans ce cadre c'est acceptable (test). N'utilisant jamais cette configuration en production je ne l'ai jamais  testé car je la considère sans objet. Je comprend que vous vouliez en savoir plus. Les journaux ne disent rien ?



  • Justement, non (du moins dans ce que j'ai fouillé). Juste les tentatives mais rien sur le blocage de l'IP. Il doit y avoir un paramètre à passer pour définir au bout de combien de tentatives une IP est bloquée.
    Et puis, il y a peut-être trop de règles d'activées (toutes ::) ), je le trouve gourmand en CPU.
    Je vais voir çà, en fait je faisais une pause avec pfSense, car je me bat aussi avec un Cisco 5510 et sa superbe (ton ironique) interface graphique, qui modifie elle même les règles. Y'a pas à dire, Cisco n'a jamais été doué dans les interfaces graphiques, hormis peut-être avec CNA… Mais on s'écarte du sujet là.

    Merci tout de même. Et si quelqu'un à le même problème, je ne lâche pas pour autant :-)


Log in to reply