SNORT : aucune action



  • Bonjour à tous,

    Ma configuration :
    2.4.4-RELEASE-p3 (amd64)
    1x WAN
    1x LAN
    1x WirelessLAN
    Version SNORT : 3.2.9.10

    J'ai configuré SNORT pour deux choses :

    • l'une sur mon interface Wireless LAN qui doit bloquer les réseaux sociaux
    • l'autre sur mon interface WAN qui doit bloquer les scans de ports

    Pour l'interface Wireless LAN (blocage des réseaux sociaux) :
    En mode "bloqué", j'ai activé la catégorie openappid-social_networking.rules. Tous les paramètres sont cochés (par défaut).
    Dans le Preprocs, j'ai coché "Use OpenAppID to detect various applications. Default is Not Checked.".
    Malgré ça, j'arrive à accéder à tous les réseaux sociaux.

    Pour l'interface WAN (blocage des scans de ports) :
    En mode "bloqué", j'ai activé les catégories :
    emerging-scan.rules
    snort_indicator-scan.rules
    snort_scan.rules
    Dans le Preprocs, j'ai coché "Use Portscan Detection to detect various types of port scans and sweeps. Default is Not Checked." (testé avec et sans).
    Malgré ça, en faisant un test de scan depuis l’extérieur, rien n'est bloqué.

    Je pense qu'il y a un problème général, ou une mauvaise configuration de ma part.

    Pourriez-vous m'aider ?

    PS : est-ce normal que, lorsque je clique sur "View List" de ma variable Home Net, rien ne s'affiche, l'encadré est vide (voir image ci-dessous).

    Je vous remercie d'avance :)

    Capture.PNG



  • Quel est votre contexte d'emploi ? Je crois comprendre que vous n'avez besoin que de trafic sortant, que vous n'hébergez rien derrière le pare-feu. Dans ce cas Snort est strictement inutile s'agissant de l'interface Wan.



  • Bonjour,
    Merci pour votre retour.
    Mon contexte : j'ai un serveur mail qui est derrière le pare-feu, donc j'ai besoin du trafic entrant.



  • @flow544

    Ma recommandation serait l'usage d'une solution de filtrage externalisé telle que Altospam si c'est une petite ou moyenne configuration. Ou Proofpoint si vous êtes sur une grosse configuration et, ou besoin critique.

    Dans tous les cas votre pare-feu n'acceptera que les connexions de cette plate-forme en tcp/25. Filtrer les contenus en amont est beaucoup plus efficace en terme de protection que Snort.



  • Proxmox dispose également d'un MTA de filtrage de mail très performant (Proxmox Mail Gateway) qui devrait répondre assez bien au besoin



  • salut salut

    effectivement pfsense n'a rien a voir avec cette problématique

    Proxmox a certes une solution, mais il y a aussi une autre distribution qui est spécialisée dans le filtrage des mails qui est https://www.mailcleaner.org/ avec un environnement type communauté comme ici avec pfsense, elle s'intercale entre le point d'entrée et le(s) serveur(s) de mails.
    Pour l'avoir utiliser chez un hébergeur de produit blanc, j'ai trouvé cela assez efficace et fonctionnel.



  • @Tatave said in SNORT : aucune action:

    elle s'intercale entre le point d'entrée et le(s) serveur(s) de mails.

    il faut également intercaler ce composant à la sortie. Mais il semble que mailcleaner ne supporte pas, par défaut en tous cas, DKIM et DMARC. Ou alors la documentation (de la version commerciale, car il n'y a pas de doc avec la version community) ne le mentionne pas.


Log in to reply