Forum.pfsense.org repéré par snort…



  • Bonjour,

    Surprise ce matin, accès impossible à forum.pfsense.org. Accès interdit !
    Je n'ai pas mis longtemps à comprendre… snort à mis en indésirable l'IP 69.64.6.21

    Es-ce à dire que cette machine fait du scan de port sur les ordinateurs connectés à elle ? Si c'est vrai, pourquoi ?



  • Dans les logs, quel pattern a bloqué l'IP ?



  • Salut,
    Après vérification, ce que j'aurais du faire en premier (mais j'ai été tellement surpris…) il ne s'agit pas d'un scan de port, seulement un script jugé malicieux  :-\

    [**] [1:15362:1] WEB-CLIENT obfuscated javascript excessive fromCharCode - potential attack [**]
    [Classification: Misc activity] [Priority: 3] 
    03/23-05:28:42.420695 69.64.6.21:80 -> XXX.XXX.XXX.XXX:51973
    TCP TTL:47 TOS:0x0 ID:28066 IpLen:20 DgmLen:1492 DF
    ***A**** Seq: 0x1DF96C4C  Ack: 0x6AC6A191  Win: 0x2058  TcpLen: 32
    TCP Options (3) => NOP NOP TS: 3610484792 695541 
    [Xref => http://www.cs.ucsb.edu/~marco/blog/2008/10/dom-based-obfuscation-in-malicious-javascript.html][Xref => http://cansecwest.com/slides07/csw07-nazario.pdf]
    

    J'ai désactivé provisoirement la règle dans snort, mais c'est pas cool d'avoir des scripts jugés potentiellement dangereux par snort sur le site…  ???

    Si les admin pouvaient regarder ça...

    Amicalement.



  • Un bon exemple des limites d'un IPS face aux faux positifs.
    ;)



  • Bon,
    Merci de ta réponse, et tant mieux si c'est un faux positif  :)



  • Et surtout un bel exemple de ce que nous répétons régulièrement : Snort est typique de la fausse bonne idée (pour l'informaticien lambda) !!

    D'un, Snort est mal placé sur un firewall,
    De deux, il faut du temps et de l'expertise … ce qui n'est TRES souvent PAS LE CAS (ni pour l'un ni pour l'autre).
    (Il est une grave erreur dans le domaine de la sécurité : se croire assez compétent et se croire en sécurité parce qu'on a mise en place un bon outil ! Bon ça en fait deux !)

    Ici, c'est l'expertise qui fait défaut, car il ne faut pas être grand clerc, l'ip de forum.pfsense.org n'est bien évidemment pas à être bloqué :
    les seuls dangers sont ceux qui comprennent de travers ou, pire, s'entête à mettre en place ce type d'outil en en méprenant tous les pré-requis.

    NB : à titre perso, je ne me m'estime pas suffisamment compétent pour mettre en place un IDS ... et je n'en ai encore moins le temps ...



  • ;D

    Snort a bloqué 194 IP pour tentatives de scan aujourd'hui… Pas sur que ce soit une mauvaise idée.

    C'est vrai que les règles que j'ai téléchargée sur le site de snort sont nombreuses et complexes... Ce n'est pas une raison pour ne pas essayer de les comprendre !
    Il suffit de regarder ce qu'elles ont dans le ventre et de les tester...

    J'ai peut-être 5 messages ici, une expérience sur freebsd d'une semaine, mais je suis sous Gnu/Linux depuis un certain temps (SID Amd64) et je sais parfaitement ce qu'est un pare-feu... Le mien n'est pas construit avec un Webgui...

    Tu peux me prendre pour un noob et me sortir ton discours de geek si ça flatte ton ego...
    Ça ne m'empêchera pas de dormir, mon serveur protégé par snort et fail2ban d'un certain nombres de tentatives d'intrusion.

    Maintenant quelle que soit la raison pour laquelle snort n'a pas apprécié ma visite sur forum.pfsense.org, elles ne sont peut-être pas si mauvaise que ça...
    Les scripts dans les pages web peuvent être très intrusifs et dangereux, je suppose que tu le sais...

    Snort est comme moi il n'aime pas scripts cachés dans les pages web...



  • J'indique 2 raisons claires qui s'opposent à l'utilisation de snort :

    1/ le placement de snort
    => pas de réponse, et pourtant c'est important : d'ailleurs c'est indiqué dans les docs du site …

    2/ expertise et temps
    fail2ban (ou autres denyhosts) s'applique à des services ouverts qui pourraient gagner à ne pas l'être (accès via un vpn à la place).
    Cela n'a que peu à voir avec Snort !
    De même les scripts dans les pages web n'ont peu à voir avec Snort ! (Je n'en trouve pas trace dans les docs snort, et pour cause !)

    Ce discours n'est pas très relevé :

    • snort est conçu pour détecter des paquets réseaux anormaux voire des séquences de paquets anormales,
    • cela suppose des règles de motifs de détection,
    • MAIS il ne suffit pas de détecter, il faut traiter,
    • pour traiter, il faut comprendre : c'est pourquoi j'écris expérience,
    • pour traiter, il faut réagir "a tempo".

    S'il s'agit de protéger

    • votre réseau personnel, il n'y a aucune utilité à snort (fail2ban suffit),
    • une petite pme, il y en a peut-être s'il y a un service hébergé en interne à destination d'internet,
    • une compagnie financière ou bancaire, il y en a sans doute.

    Mais les professionnels qui s'occupent du dernier cas ne s'annoncent pas sur le forum. Je ne suis pas sur que ce soit des fans de pfSense (ou d'ipcop ou autres distributions open source).

    J'ai écrit fausse bonne idée.
    Cela veut clairement dire que le principe de Snort est séduisant.
    Mais je suis, non un geek, un professionnel de la sécurité, et le premier principe est d'opposer la bonne mesure à un risque donné (et identifié).
    Et pour obtenir un résultat tangible de l'idée, il faut, comme je l'indique, expertise et temps.
    2 données qui ne sont pas forcément présentes.
    D'où le "fausse" (que je maintiens dans 95% des cas).

    J'ajoute que se croire plus en sécurité parce qu'on a activé Snort, alors que l'on ne sait pas réagir à une alerte est une grave erreur !



  • De la détection de script dans une page html

    Alors on m'aurait trompé, snort serait capable de détecter dans un flux html un script javascript malicieux ?
    Mais alors Snort est l'alpha et l'omega de la securité !

    On est là dans l'analyse protocolaire. C'est le travail d'un proxy applicatif.
    Beaucoup de soft antivirus sont capable d'analyser un flux http (et au milieu les scripts javascript).
    De mon point de vue, naviguer sur un site comportant des scripts malicieux n'a rien à voir avec de l'intrusion réseau.

    On parle de VRT :

    Sourcefire VRT is a group of leading-edge network security experts working around the clock to proactively discover, assess, and respond to the latest trends in hacking activities, intrusion attempts, malware and vulnerabilities. Some of the most renowned security professionals in the industry, including the ClamAV  Team and authors of several standard security reference books, are members of Sourcefire VRT. This team is supported by the vast resources of the open source Snort and ClamAV communities, making it the largest group dedicated to advances in the network security industry.

    The VRT develops and maintains the official rule set of Snort.org. Each rule is developed and tested using the same rigorous standards VRT uses for Sourcefire customers. The VRT also maintains shared object rules that are distributed for many platforms in binary format. To request additional platforms for inclusion send email to research at sourcefire dot com listing the platform required.

    L'utilisation d'un proxy (squid) chainé à HAVP (qui utilise Clamav) pourrait parfaitement détecter une vulnérabilité dans un flux html du type script javascript caché. (En l'occurence, j'utilise dans une entreprise, un schéma tel celui-ci, et il ne m'a pas interdit de naviguer sur forum.pfsense …)

    Si Snort embarque des règles aussi fines alors quand je souligne l'expertise nécessaire (pour distinguer le vrai du faux), je suis très en dessous de la réalité !



  • Re,
    Content de t'avoir appris quelque chose…

    http://www.snort.org/snort-rules/

    Je pensais moi aussi que snort se limitait à la détection de tentatives de scan de ports, il fait bien plus que cela!
    Le filtrage des paquets par snort est lui aussi très efficace, et j'ai une grande confiance dans les règles proposées.

    J'admet parfaitement que quelqu'un qui arrive et vienne vous dire que forum.pfsense.org n'est pas un site fiable vous fasse bondir...

    Cela n'enlève rien à ma remarque sur l'utilisation de scripts java "indélicats"... Je me suis d'ailleurs empressé de bloquer les scripts sur forum.pfsense.org en attendant...

    Amicalement



  • script javascript et pas script java !

    Cela continue à me dire que snort est une fausse bonne idée : mélanger de l'analyse de paquets ip à de l'analyse dans le flux protocolaire qui devrait être réalisé par un proxy applicatif.


Log in to reply