ANYDESK COM SNORT

sramsterdam · Sep 17, 2020, 1:52 PM

Primeiramente um bom dia!
Estou com um problema, o Snort bloqueia o anydesk.
Gostaria de criar uma regra custom para que o Snort não o bloqueie mais.
Tentei isso:
pass tcp net.anydesk.com any <> meuipexterno any

Deu erro dizendo que o net.anydesk.com não é um IP.
Se puderem me ajudar eu agradeço, iniciei recentemente nesse universo do snort.

Luketa · Dec 27, 2020, 12:36 PM

@sramsterdam , bom dia!
estava com o mesmo problema, inclusive vi esse tópico, consegui resolver e vou postar:
Service> Snort
No Alerta da WAN procura pela IP: 92.38.150.66
coloquei o IP em suppress list e removi a regra 120:18 , depois fui em BLOCKED e pesquisei pelo IP 92.38.150.66 removi ele da lista de bloqueio, voltou a funcionar na hora.

sramsterdam · Dec 28, 2020, 3:20 PM

@luketa Bom dia!
Obrigado pela resposta e o interesse em ajudar!

Eu consegui há alguns dias isso com a regra seguinte:

pass tcp $HOME_NET any <> $EXTERNAL_NET any (msg:"AnyDesk";flow:from_client;appid:anydesk; sid:1000055 ; classtype:misc-activity; rev:1;)

Fonte: https://forum.netgate.com/topic/125050/openappid-can-t-found-any-app/5

Na regra do @SILENTNOMAD mudei apenas o 'alert' para 'pass' e o '->' para '<>' e resolveu.

Luketa · Dec 28, 2020, 3:20 PM

@sramsterdam showww, obrigado por compartilhar sua solução.