Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Snort OpenAppid no todas las alertas funcionan

    Scheduled Pinned Locked Moved Español
    snortopenappidalertaespañolno funciona
    2 Posts 2 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Z
      Zulder
      last edited by Zulder

      Hola!
      soy nuevo en esto de configurar snort y openappid eh estado tratando de configurar mi pfsense con Snort para que me muestre alertas con el OpenAppid, una vez habilitado OpemAppid y actualizado las reglas funciona a medias.

      en mi interfaz WAN directamente no sale ninguna alerta aun que tenga todos las rulesets OpenAppid habilitadas.

      en la interfaz LAN cuando tengo habilitado solo las rulesets OpenAppid, pero solo me alerta sobre el acceso http, telegram y de vez en cuando chrome y opera entre algunos pocos que puedo mencionar. Yo necesito q me muestre alertas de redes sociales, facebook, twitter, tmb de youtube, googledrive, ICMP, y muchos otros, pero no me saltan las alertas.

      pense que las reglas estaban cargando la memoria, asi que solo intente habilitar manualmente una regla, facebook por ejemplo,
      alert tcp any any -> any any (msg:"facebook"; appid: facebook;sid: 9000109; classtype:misc-activity; rev:1;)
      y un nada,
      si habilito solo la regla de http (que es parte de openappid-network_protocol.rules) alerta todo el movimiento
      alert tcp any any -> any any (msg:"http"; appid: http;sid: 9000109; classtype:misc-activity; rev:1;)
      esto ultimo pasa con algunas cuantas reglas como telegram, pero telegram solo por navegador, no alerta al usar la aplicacion en móvil.

      algo raro esta pasando y no puedo descubrir que es.

      mi pfsense tiene configurado:
      Squid Proxy
      Squid Guard (por el momento solo tiene black list de paginas xxx)
      Squid proxy reports
      Bind DNS server (slave)

      WAN y LAN no tienen reglas de firewall por ahora.

      Caracteristicas de mi Pfsense:

      bb0359eb-f3ad-4d0a-b1f1-2ea828a73c87-image.png

      Ayuda por favor. No se si tal vez sea que el hardware no es complatible con el OpenAppid, talvez?

      1 Reply Last reply Reply Quote 0
      • S
        sonerzin
        last edited by

        @Zulder Me pasa como a ti... Solo me pasa puerto 80 http y no todos... Lo pudiste solucionar?

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.