Configurazione di snort

pama

Ciao a tutti,
sto googlando all'infinito per l'installazione di snort.... provato tutte le interfacce, solo LAN, solo WAN, entrambe, ma il risultato è sempre lo stesso: i test ransomware vengono completati senza che snort intervenga.

Qualcuno è riuscito a farlo andare?
Grazie a tutti

Fumetto

Mai usato... ma... se mi permetti... "non funziona" non è un'informazione utile... quale guida hai seguito? Aiutaci ad aiutarti... ;)

pama

@fumetto scusa hai ragione...mi sono proprio comportato da "utonto".
Ho seguito la guida presente in pfsense italy, adattandola alla versione 2.4.4 in uso
https://www.pfsenseitaly.com/2012/08/trasformare-pfsense-in-un-sistema-idsips.html

Non sono nemmeno sicuro che i test ransomware possano portare a risultati certi, o meglio, non so se effettivamente fanno il loro dovere o se scaricano al momento della richiesta tutto il "payload" senza andare a contattare server esterni per la generazione delle chiavi...

Insomma...come può pfsense proteggere da ransomware?

Grazie

Fumetto

Ok. Seguendo quella guida ho attivato snort e "pare" che qualcosa quantomeno "logghi"...
0_1545085706444_snort.jpeg.jpg
Tu che problemi riscontri? Di quali test parli?

pama

Ho provato alcuni tool per simulare un attacco ransomware, tra cui in particolare
https://www.barkly.com/stackhackr

Sembra non venga filtrato o loggato nulla...
Magari sto utilizzando anche tool che generano più falsi positivi, ma vorrei effettivamente poter avere evidenza del funzionamento prima di metterlo in produzione con certezza...

fabio.vigano

Ciao,
più che snort io utilizzerei pfblocker con qualche lista per il blocco di ip legati ad attività ransomware.
Poi comunque snort può essere utili per identificare traffico anomalo sia in ingresso (se pubblichi servizi) sia in uscita per individuare comportamenti anomali.
Ciao Fabio

fabio.vigano

Qui trovi qualche lista
https://ransomwaretracker.abuse.ch/blocklist/
Fabio

pama

Grazie Fabio, in genere quale consigli?

Andrea

fabio.vigano

Puoi usare queste https://ransomwaretracker.abuse.ch/blocklist/
Se fai una ricerca con google ne puoi trovare altre, ora non ho sottomano quelle che uso normalmente
Ciao Fabio

pama

Usi le tre combined list in testa?
Grazie,
Andrea