Snort блокирет выход в глобал



  • Снова прошу ткнуть носом в проблему, найти решение которой не получается, главным образом по причине непонимания предпосылок блокировки. Итак проблема такова, что в один прекрасный момент пропадает инет.  Snort при этом говорит в алертах:

    #      PRI PROTO           DESCRIPTION                           CLASS SRC                 SPORT FLOW     DST           DPORT SID         Date
    1 3 PROTO:255         (portscan) TCP Filtered Portsweep   Prep 85.140.53.153 empty ->   62.105.135.103   empty 122:7:0 06/14-10:50:42

    при этом в блок листе появляется запись

    (portscan) TCP Filtered Portsweep 85.140.53.153

    системлог пишет:
    snort[28576]: [122:7:0] (portscan) TCP Filtered Portsweep [Priority: 3] {PROTO:255} 85.140.53.153 -> 62.105.135.103
    snort[28576]: [122:7:0] (portscan) TCP Filtered Portsweep [Priority: 3] {PROTO:255} 85.140.53.153 -> 62.105.135.103

    адрес 85.140.53.153 (изменен)  - это адрес предоставленный мне провайдером по DHCP.

    При этом у меня режутся все исходящие соединения в глобал, до удаления адреса из блоклиста, но при этом работает менеджер закачек, продолжающий закачки. Игра с рулесами снорта не помогла.

    Понимаю интуитивной задней частью, что решение на поверхности и где-то я туплю, однако не понимаю в чем дело и куда копать. Со снортом заморочился совсем недавно, потому прошу помощи у мозговитых товарищей.

    PfSense 1.2.3-RELEASE

    snort 2.8.6 pkg v. 1.27
    squid 2.7.8_1
    squidGuard   1.3-2
    HAVP antivirus 0.90



  • В локальной сети червь?



  • Уже весь мозг сломал в его поимках. Однако заразу обнаружить не смог… В общем рекоммендуете лечиться?



  • @himmel:

    Уже весь мозг сломал в его поимках. Однако заразу обнаружить не смог… В общем рекоммендуете лечиться?

    Посмотреть лог states, позвонить прову, спросить на счёт сетевой аномалии (у меня один офис по 53 порту ддосил)



  • На LAN запретить всё, разрешить только нужное. И лечиться, лечиться, лечиться…



  • to Evgeny - имеете ввиду запретить все PFом? дык TCP траффик все равно не запретить (нужен он мне), а проблема именно  в нем.
    Всем спасибо, пока проблема видимо решена - зараза изловлена, и видимо рано отказываться от фаервола на локальных машинах.



  • Что нашли, рассказывайте. Да и зачем ВЕСЬ TCP ? неужто торрентами балуйтесь?



  • Итак, радость оказалась преждевременной. Блокировка моего IP продолжается. Забыл упомянуть в первый раз, но после заблокирования веб-морда умирает, чаще всего оживает через минуту, однако не всегда. За чистоту локалки от вирусов ручаюсь, более того, пробывал отключать все машины от пфсенса и подрубать чистый ноут, проблема при серфе сохраняется. По косяку нарыл в инете крохи, на форуме нашел лишь это:
    http://forum.pfsense.org/index.php?topic=20137.msg103748

    Может мне кто-нибудь сказать о чем они там, ибо ответов не увидел. Хочу понять наконец что происходит и куда копать…



  • Мне начинает казаться, что досит меня стрим…



  • @himmel:

    http://forum.pfsense.org/index.php?topic=20137.msg103748

    Может мне кто-нибудь сказать о чем они там, ибо ответов не увидел. Хочу понять наконец что происходит и куда копать…

    Советуют запретить/подавить gen_id 122, sig_id 7



  • Путем общения с ребятами со стрима выяснили, что осуществляется атака на мою сетку. Рекомендуют подойти к защите более основательно ??? … Не вполне понял их подход, однако необходимо что-то думать. Сегодня основным виновником моих проблем стал:

    http://www.programmer.lt/en/whois/?q=74.125.43.139
    http://www.programmer.lt/en/whois/?q=205.188.95.152
    очень странно...

    "Советуют запретить/подавить gen_id 122, sig_id 7" - это как и где?



  • A pri chem tut stream? Sam zapusti tcpdump na WAN I glyadi, kto tebya dosit. Esli tol'ko s odnogo ip, to zvoni provideru I napryagay ego razbirat'sya.
    Nastroyki v snort'e ochevidno -)))



  • В день 5-7 айпишников разных. Все есть проксики как я полагаю.



  • Eto melochi. Privykay…



  • @himmel:

    В день 5-7 айпишников разных. Все есть проксики как я полагаю.

    А у тебя пинг на твой внешний адрес разрешен? Иногда бывает полезно его запретить.
    А Какие внешние сервисы у тебя доступны из-вне ?



  • Я не сильно переживаю относительно атак, меня достало пропадание инета.
    Покажите как запретить gen_id 122, sig_id 7, а пока я пошел читать что это такое. :-[



  • Ок, нашел как подавлять и запрещать :o Вы уж не кидайтесь тапками, я только учусь ;)



  • @dvserg:

    @himmel:

    В день 5-7 айпишников разных. Все есть проксики как я полагаю.

    А у тебя пинг на твой внешний адрес разрешен? Иногда бывает полезно его запретить.

    Имеете ввиду запрет ICMP echo-reply из WAN adress - to - any? Такое правило имеется.



  • @himmel:

    Снова прошу ткнуть носом в проблему, найти решение которой не получается, главным образом по причине непонимания предпосылок блокировки. Итак проблема такова, что в один прекрасный момент пропадает инет.  Snort при этом говорит в алертах:

    #      PRI PROTO           DESCRIPTION                           CLASS SRC                 SPORT FLOW     DST           DPORT SID         Date
    1 3 PROTO:255          (portscan) TCP Filtered Portsweep    Prep 85.140.53.153 empty ->    62.105.135.103   empty 122:7:0 06/14-10:50:42

    при этом в блок листе появляется запись

    (portscan) TCP Filtered Portsweep 85.140.53.153

    системлог пишет:
    snort[28576]: [122:7:0] (portscan) TCP Filtered Portsweep [Priority: 3] {PROTO:255} 85.140.53.153 -> 62.105.135.103
    snort[28576]: [122:7:0] (portscan) TCP Filtered Portsweep [Priority: 3] {PROTO:255} 85.140.53.153 -> 62.105.135.103

    адрес 85.140.53.153 (изменен)  - это адрес предоставленный мне провайдером по DHCP.

    При этом у меня режутся все исходящие соединения в глобал, до удаления адреса из блоклиста, но при этом работает менеджер закачек, продолжающий закачки. Игра с рулесами снорта не помогла.

    Понимаю интуитивной задней частью, что решение на поверхности и где-то я туплю, однако не понимаю в чем дело и куда копать. Со снортом заморочился совсем недавно, потому прошу помощи у мозговитых товарищей.

    PfSense 1.2.3-RELEASE

    snort 2.8.6 pkg v. 1.27
    squid 2.7.8_1
    squidGuard   1.3-2
    HAVP antivirus 0.90

    У меня та же проблема.
    И все зависит от тебя, а точнее от твоего IP: статический он или динамический.
    Если статика значит тебе повезло - закидываешь в Whitelists свой IP и IP шлюза.
    Если динамический - 2 варианта:
    1. Угадывать когда будет сменятся сесия и отключать Snort потом добавлять новый IP в Whitelists потом включать snort.
    2. Убать из категорий snort_icmp.rules, snort_icmp.so.rules, snort_icmp-info.rules и возможно(непомню) snort_scan.rules(и иногда мой провайдер сканирует порты так что и антисканирование портов придется вырубить). Да, эффективность понизится snortа очень сильно, но увы..:-
    3. Отключить snort  вообще  :'(



  • Спасибо, добрый человек. У меня динамика, т.к. стрим. Проблема действительно в активном оборудовании провайдера видимо. Но подозреваю еще http_inspect. Кстати, мой снорт часто не видит вайтлисты до перезапуска. В логах чисто. А сейчас после переустановки пакета не хочет обновлять рулесы - говорит можно только раз в 15 минут, а сколько не жди - одна песня.


Log in to reply