Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Configurazione di snort

    Italiano
    3
    10
    682
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pama last edited by

      Ciao a tutti,
      sto googlando all'infinito per l'installazione di snort.... provato tutte le interfacce, solo LAN, solo WAN, entrambe, ma il risultato è sempre lo stesso: i test ransomware vengono completati senza che snort intervenga.

      Qualcuno è riuscito a farlo andare?
      Grazie a tutti

      1 Reply Last reply Reply Quote 0
      • F
        Fumetto last edited by

        Mai usato... ma... se mi permetti... "non funziona" non è un'informazione utile... quale guida hai seguito? Aiutaci ad aiutarti... ;)

        P 1 Reply Last reply Reply Quote 0
        • P
          pama @Fumetto last edited by

          @fumetto scusa hai ragione...mi sono proprio comportato da "utonto".
          Ho seguito la guida presente in pfsense italy, adattandola alla versione 2.4.4 in uso
          https://www.pfsenseitaly.com/2012/08/trasformare-pfsense-in-un-sistema-idsips.html

          Non sono nemmeno sicuro che i test ransomware possano portare a risultati certi, o meglio, non so se effettivamente fanno il loro dovere o se scaricano al momento della richiesta tutto il "payload" senza andare a contattare server esterni per la generazione delle chiavi...

          Insomma...come può pfsense proteggere da ransomware?

          Grazie

          1 Reply Last reply Reply Quote 0
          • F
            Fumetto last edited by

            Ok. Seguendo quella guida ho attivato snort e "pare" che qualcosa quantomeno "logghi"...
            0_1545085706444_snort.jpeg.jpg
            Tu che problemi riscontri? Di quali test parli?

            1 Reply Last reply Reply Quote 0
            • P
              pama last edited by

              Ho provato alcuni tool per simulare un attacco ransomware, tra cui in particolare
              https://www.barkly.com/stackhackr

              Sembra non venga filtrato o loggato nulla...
              Magari sto utilizzando anche tool che generano più falsi positivi, ma vorrei effettivamente poter avere evidenza del funzionamento prima di metterlo in produzione con certezza...

              1 Reply Last reply Reply Quote 0
              • fabio.vigano
                fabio.vigano last edited by

                Ciao,
                più che snort io utilizzerei pfblocker con qualche lista per il blocco di ip legati ad attività ransomware.
                Poi comunque snort può essere utili per identificare traffico anomalo sia in ingresso (se pubblichi servizi) sia in uscita per individuare comportamenti anomali.
                Ciao Fabio

                ===============================
                pfSenseItaly.com
                La risorsa italiana per pfSense

                Se il post o la risposta ti sono stati utili clicca su 👍

                1 Reply Last reply Reply Quote 0
                • fabio.vigano
                  fabio.vigano last edited by

                  Qui trovi qualche lista
                  https://ransomwaretracker.abuse.ch/blocklist/
                  Fabio

                  ===============================
                  pfSenseItaly.com
                  La risorsa italiana per pfSense

                  Se il post o la risposta ti sono stati utili clicca su 👍

                  1 Reply Last reply Reply Quote 0
                  • P
                    pama last edited by

                    Grazie Fabio, in genere quale consigli?

                    Andrea

                    1 Reply Last reply Reply Quote 0
                    • fabio.vigano
                      fabio.vigano last edited by

                      Puoi usare queste https://ransomwaretracker.abuse.ch/blocklist/
                      Se fai una ricerca con google ne puoi trovare altre, ora non ho sottomano quelle che uso normalmente
                      Ciao Fabio

                      ===============================
                      pfSenseItaly.com
                      La risorsa italiana per pfSense

                      Se il post o la risposta ti sono stati utili clicca su 👍

                      1 Reply Last reply Reply Quote 0
                      • P
                        pama last edited by

                        Usi le tre combined list in testa?
                        Grazie,
                        Andrea

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post