Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense i snort

    Scheduled Pinned Locked Moved Polish
    5 Posts 2 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      magnes
      last edited by

      Witam, proszę o wyrozumiałość:)
      Eksperymentuję ze snortemna pfsense, staram się jakoś zrozumieć i zapanować nad ilością reguł i komunikatów snorta. W zakładce alerts mam jakiś komunikat, analizuję i stwierdzam że to jest false positive i generalnie taka informacja mnie nie obchodzi, chciał bym ją wyłączyć. Mam gid:sid ale w jaki sposób zlokalizować w jakiej grupie ta reguła się znajduje? Jak ją znaleźć w regułach?
      Gdy chcę wyświetlić aktywne reguły aby użyć zwykłego ctrl+f, to trwa milion lat bo tych aktywnych jest tak dużo:/ chciał bym je na podstawie alertów sukcesywnie dezaktywować jeżeli są niepotrzebne, ale nie wiem jak je znaleźć...

      1 Reply Last reply Reply Quote 0
      • P
        Przemyslaw85
        last edited by

        Wyłączyć można pytanie czy warto Snort ->edycja interfejsu -> WAN Rules
        I wyłączyć konkretną regułę.

        Moim zdaniem lepiej jest pododawać wpisy dla każdego interfejsu co jest dozwolone niż wyłączyć całą regułę.
        U mnie lista alertów jest długa. Ale do czasu jak nie blokuje to czego nie powinien to nie interweniuję.

        My pfSense box w HA:
        Master: HP DL360G8 1x E5-2670, 64GB ECC RAM, 8x NIC (17x VLan)
        Slave: HP DL360G5, 2x E5410, 64GB ECC RAM, 6x NIC (17x VLan)

        1 Reply Last reply Reply Quote 0
        • M
          magnes
          last edited by

          To nawet nie do końca chodzi o to że alert mi przeszkadza (choć masa bzdurnych skutecznie zaciemnia te być może potrzebne), bardziej chodzi mi o to że chciał bym aby snort monitorował to na czym mi zależy i generalnie chciał bym być świadomy jakie grupy jakie reguły mam odpalone, jakoś umieć się w tym poruszać... Ja wiem gdzie wyświetlić reguły, wiem jak wyświetlić grupy reguł, nie umiem w drugą stronę... Na podstawie alertu zlokalizować regułę i grupę do której należy dana reguła.
          2020-10-02 10:22:12 3 TCP Misc activity XX.XX.XX.XX 37784 173.194.151.103 443 1:70697 youtube
          Co mi wnosi taki alert? Ktoś odpalił youtuba... Chcę zlokalizować która to reguła:/

          1 Reply Last reply Reply Quote 0
          • P
            Przemyslaw85
            last edited by

            Wszystko masz zawarte w alercie:
            2020-10-02 10:22:12 3 TCP Misc activity XX.XX.XX.XX 37784 173.194.151.103 443 1:70697
            Snort ->edycja interfejsu -> WAN Rules
            Odszukaj ten kod: 37784 -> FILE-IDENTIFY Adobe Texture Format file magic detected

            My pfSense box w HA:
            Master: HP DL360G8 1x E5-2670, 64GB ECC RAM, 8x NIC (17x VLan)
            Slave: HP DL360G5, 2x E5410, 64GB ECC RAM, 6x NIC (17x VLan)

            M 1 Reply Last reply Reply Quote 0
            • M
              magnes @Przemyslaw85
              last edited by

              A możesz podpowiedzieć jeszcze jakieś ustrojstwo pomagające przeglądać/analizować logi? coś co zbiera logi w jakieś kategorie itd...

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.