Vorhaben mit Snort oder Suricata möglich?



  • Hallo.

    Entschuldigung erstmal für die Fragen :) Mit diesen packages kenne ich mich wirklich nicht aus.

    1. Es ist doch mit snort oder suricata möglich am LAN Interface Betriebssystem Anwendungen zu blockieren oder zuzulassen oder nicht?
    2. Ist es auch mit den packages möglich Firewallregeln zu erstellen, sodass die Anwendung über VPN geht?


  • Hi,

    wieso Entschuldigung? Das gibt's hier nicht! :-)

    Zu 1)
    Ja, mit Snort ist dein Vorhaben mit aktiviertem PreProc OpenAPPID möglich, bestimmte, bekannte Anwendungen zu erkennen und entsprechend zuzulassen oder eben zu blocken.
    PreProc steht für PreProcessor, da wirst du dich eh noch einlesen, versprochen... Du findest ihn nach der Installation unter "Services" "Snort" "Snort Interfaces" in den Einstellungen für die dann dort in Snort erstellten Interfaces. Nicht verwirren lassen, das findest du a) erst nach der Installation und b) nachdem du in Snort selbst die Prozesse je Interface konfiguriert hast.
    Bzgl Suricata kann ich dir leider keine Auskunft geben, ich bin bisher nicht dazu gekommen mich mit Suricata zu beschäftigen. Ich vermute aber mal, dass es da auch den PreProc OpenAPPID oder etwas ähnliches geben dürfte...sollen sich recht ähnlich sein die beiden.

    Zu 2) Es ist mit Sicherheit möglich, aber wie kann ich höchstens noch vermuten... Da warte am besten noch auf weitere Antworten. :)
    Wenn du eine einzelne Anwendung quasi über einen Proxy laufen lassen möchtest wird aber vermutlich ein Proxy dein Mittel der Wahl sein dürfen. Mit Snort / Suricata geht es natürlich nicht. (falls das ein Teil der zweiten Frage war..)

    Ich habe selber noch keinen Proxy aufgesetzt, vermute aber, dass das Package Squid hier ein Mittel deiner Wahl werden könnte.



  • Also wenn 1) schon mal möglich ist, dann ist es klasse. Was ich unter Nr. 2) gedacht habe, muss ich noch genauer beschreiben.

    1. Ich wollte eine allgemeine Regel für OpenVPN unter Firewall/ Rules/ LAN anlegen. Also ein OpenVPN Client Interface unter Gateway angeben, sodass alles über VPN geht.

    2. Oberhalb der Nr. 2 Regel wollte ich eine Regel für ein bestimmtes Programm (z. B. Firefox) angeben und unter Gateway WAN_DHCP auswählen, sodass die obere vor der unteren Regel als erstes greift.

    Oder gibt es einen besseren Weg das umzusetzen?



  • Hm, man möge mich bitte korrigieren (!) wenn ich falsch liege. Aber so wie ich deine Idee verstehe, wirst du dein gestecktes Ziel nicht erreichen. Ich vermute hier liegt auch ein Missverständnis vor..

    Ich teile meine Antwort mal schnell in einzelne Teile auf.

    • unter Firewall / Rules / LAN hast du standardmäßig eine Default Allow from Any(IP) & Any(Port) to Any(IP) & Any(Port)
      -- damit ist es Geräten in LAN erst einmal grundsätzlich erlaubt, Zugriff auf das gesamte Netzwerk zu nehmen, zusätzlich zum Internet inkl. der Firewall und anderer evtl. von dir erstellter Subnetze (wie z.B. u.U. dein Modem)
      --- eine solche Regel macht also auf LAN relativ wenig Sinn, Ausnahme: du arbeitest nicht mit der Default Allow Any Any...

    • die Regeln werden ja immer von oben nach unten durchlaufen, sobald die erste greift, wird der (Daten-) Zu- oder Abgang gewährt von dem jeweiligen Interface aus gewährt
      -- wenn du also oberhalb der von dir angedachten Regel eine Regel für ein Programm (??) eingibst wäre das unnötig, lediglich eine Block Regel über der Default Allow Any Any würde Sinn machen. Somit würdest du etwas verbieten, bevor es ja durch die Standardregel erlaubt würde.
      -- weiterhin können in den Firewall Regeln keine Programme, sondern nur Hosts, Ports, Netzwerke und selbst erstellte Aliase angegeben werden. Sollten sie über ein bestimmtes Interface angebunden sein oder über einen bestimmten Port laufen, auf dem nichts anderes läuft oder laufen kann, dann könntest du wohl diesen Umweg nehmen...wovon ich zumindest aber wirklich abraten würde...woher weiß man, dass kein anderes Programm nach dem nächsten Update auch diesen Port nutzen möchte? Auch wenn man mit Packet Capturing über einen gewissen Zeitraum feststellen konnte, dass zum Zeitpunkt des Packet Capturing keine anderen Programme über diesen Port kommuniziert haben, heißt das ja noch nicht, dass das bei unseren Endnutzersystemen auch so bleibt.

    Hast du pfSense schon irgendwo installiert?

    Falls ja: installiere Snort oder Suricata und schau dich da mal um, richte es ein, lies dich ein, nur so geht es weiter
    Danach könntest du dich z.B. direkt mit Squid (als Proxylösung) auseinandersetzen...

    Falls nein: installier dir das ganze mal in einer virtuellen Umgebung und probiere dich dort aus. Ich muss gestehen, ich bin den harten Weg gegangen und habe es direkt auf einer preisgünstigen Hardware (APU2) umgesetzt.

    Die pfSense ist eine enorm mächtige Firewall, allerdings muss man sich eben auch rantasten oder, lesen, probieren, fragen. Oder mit dem Thema Networking schon von Berufs Wegen vertraut sein. Ich denke, dass ist bei uns beiden nicht der Fall :-)

    Nochmal: wenn ich du wäre, würde ich (deine) zwei Hauptziele folgendermaßen angehen:

    • Snort als IDS für Lernzwecke / IPS wenn man soweit ist
    • Proxy über Squid aufsetzen und schauen, ob und wenn ja wie ich einzelne Programme da hineinzwängen kann...ich vermute, wie gesagt, dass das aber die einfachste Lösung sein dürfte

    BTW Firefox lässt sich seinen Zugang konfigurieren, d.h. bei Firefox kannst du definitiv einen Proxy angeben. Du müsstest eben nur einen Proxyserver aufsetzen oder einen fremden nutzen (was ich aber nicht empfehlen würde und ja auch nicht Sinn deiner Frage war)