Snort se désactive selon les règles
-
Bonjour à tous,
J'ai un ptit problème avec Snort, si j'active certaines catégories de règles, l'interface ne peut pas se redémarrer, ce qui fait que je ne peux pas utiliser toutes les protections proposées… Y-a t'il une raison à cela ? ou est ce encore un énième bug inexplicable qui implique une réinstallation complète de pfSense...?
EDIT: même après réinstallation de Snort et sans garder les paramètres, même combat, j'active les 5 premières rules et l'interface refuse systématiquement de démarrer. C'est dommage j'adore vraiment le concept de pfsense mais cette fragilité pour un firewall me déçoit :-\
-
J'ai réinstallé entièrement pfSense (formatage complet) j'ai tout refait de base avec les bonnes configs, j'ai réinstallé snort proprement et… même problème... >:( >:( >:(
J'ai essayé avec un autre oinkcode, rien à faire certaine règle passent, du genre "scan, icmp, etc." mais dès que j'en coche une autre l'interface refuse de démarrer...Quelqu'un a une idée ? ou c'est encore une énième cricrise de pfSense inexplicable ?
Moi quoi comptais investir dans une petite license snort à 29$... -
Il faudrait arrêter d'écrire qu'il y a un problème avec pfSense (qu'il est fragile ou autre) !
Car ce N'EST PAS le cas !Ici, je vois au mieux un défaut du package Snort.
Mais, comme de toute façon, je considère que Snort NE DOIT PAS être placé sur un firewall, d'une part.
Et, que d'autre part, les conditions pour que Snort ait le moindre intérêt et apporte quelque chose d'utile sont telles, que cela n'est presque jamais le cas (en tout cas sur ce forum ou des similaires).Si vous croyez en l'utilité de Snort (ce n'est pas mon cas dans les situations courantes de ce forum), prenez plutôt le temps de l'installer CORRECTEMENT (c'est à dire sur sa propre machine et à la bonne place) … et devenez un expert (ce qui demande quelques temps ...).
Ce n'est pas parce qu'un paquet existe qu'il faut croire qu'il est à utiliser !
-
Je n'ai pas tout lu mais avez vous regardé cela : http://forum.pfsense.org/index.php/topic,16847.0.html
J'ignore si la réponse ou des pistes s'y trouvent.C'est dommage j'adore vraiment le concept de pfsense mais cette fragilité pour un firewall me déçoit.
et
ou c'est encore une énième cricrise de pfSense inexplicable ?
J'ai un point de vue un peut différent. Pour bien comprendre il me suffit de citer le développeur du package Snort pour Pfsense :
"Snort package is a gui based front-end for Sourcefire's Snort IDS/IPS software".
En d'autres termes, ce que vous utilisez dans ce contexte n'est ni Pfsense ni Snort mais une interface graphique pour paramétrer Snort depuis pfsense. C'est bien différent. On ne peut parler de fragilité de Pfsense alors qu'il s'agit d'un package développé hors de l'équipe de Pfsense. Il n'y a pas de fragilité dans Pfsense, par contre il y a des addons qui peuvent en compromettre la robustesse.Par ailleurs je ne vais pas écrire une nouvelle fois ce que je pense de l'utilisation de Snort sur Pfsense (ou n'importe quel firewall), je l'ai fait amplement ici et sur Ixus.
En résumé :- Snort n'est pas à sa place sur le firewall.
- L'exploitation efficace de Snort (ou de tout autre IDS) réclame des moyens humains considérables en volume comme en expertise.
-
Ce qui me fait dire que pfSense est fragile ce n'est pas que ça, j'ai déjà eu énormément de soucis pour des raisons parfois inconnues, un package mal désinstallé (mais là encore c'est dût au package) et la seule solution est de réinstaller complétement pfSense, un arrêt imprévu et le fonctionnement en devient totalement bancal etc. C'est ça que j'appelle fragile, par contre niveau firewall et protection pour moi c'est excellent, mais encore ce n'est que mon avis.
(Petite parenthèse, j'ai essayé sur un autre serveur dans un autre parc et même problème au mot prêt… cela vient peut être du package, je vais aller faire un tour sur le fofo international)
@jdh:
Si vous croyez en l'utilité de Snort (ce n'est pas mon cas dans les situations courantes de ce forum), prenez plutôt le temps de l'installer CORRECTEMENT (c'est à dire sur sa propre machine et à la bonne place) … et devenez un expert (ce qui demande quelques temps ...).
Le problème c'est qu'on ne nait pas expert (en tout cas pas moi), je vous crois sur parole que c'est mauvais d'installer snort sur un firewall pfsense, sauf que moi ce qui m'intéresse c'est "pourquoi ?" j'adore apprendre mais surtout comprendre le pourquoi du comment. Donc je ne suis pas contre quelques explications qui indique que je suis sur la mauvaise voix. :) Je voyais snort comme un complément idéal d'un firewall dans le sens ou branché au "cul" de ma box il filtre tout, le firewall filtre bêtement les ip et les autorisations et snort peut identifier certaines attaques et les bloquer ce qui est déjà une protection pour l'ensemble du LAN…
-
Encore une fois les packages ne sont pas réalisés, ni testés par l'équipe qui développe Pfsense.
Pour Snort, quelques éléments de réponse :
http://www.snort.org/docs/iss-placement.pdf
http://forums.ixus.fr/viewtopic.php?t=41504&highlight=ipcop+++idsChez un de mes clients nous utilisons un IPS/IDS. C'est une solution dédiée, placée derrière le firewall, une appliance en pont. Il y a une cinquantaine de sites internet derrière. Il y a la compétence pour le déploiement mais surtout il y a un monitoring 24/7 sur deux sites (Suisse et Croatie) distincts du datacenter. Le délai maximum contractuel de réaction sur une alerte grave (incluant faux positif qui bloquerait un accès légitime aux sites) est de 15mn. Dans ces conditions un outil tel que Snort est efficace.
-
Ce que tu conseilles c'est de séparer surtout les deux solutions dans ce style ? :
INTERNET x–-----------------x FIREWALL x------------------x IPS/IDSx--------------------x LAN
-
Oui, si vous avez la possibilité d'être très réactif sur les faux positifs, sinon utiliser Snort en IDS plutôt qu'en IPS (toujours risqué).
-
cette solution du tout intégré sur pfSense était pour moi très intéressante dans le sens où c'est pour une utilisation personnelle :D donc niveau trafic c'est limité et niveau faux-positif j'en ai pas souvent ;D, je voulais juste une petite machine qui sera toujours mieux que ma freebox ;D, le firewall m'est super utile dans le sens ou je peux filter au port et à l'IP, mais quand je vois mes logs de firewall et le nombre complétement abusé d'accès bloqué un IDS/IPS m'est franchement utile surtout que j'ai quelques serveur hébergés et disponibles sur le net.
Sans compter qu'étant étudiant j'ai un studio et j'ai pas envie de mettre 4PC avec un rôle différent + un gros server (le bruit et la conso :P) -
C'est bien ce que je pensais : aucun intérêt utile ou pratique ici pour un IDS (Snort).
Ce qui est étonnant c'est qu'un IDS est sur le papier quelque chose d'intéressant.
Mais ce qui n'est alors pas vu ou compris, c'est les ressources nécessaires pour que cela soit REELLEMENT utile.Ces ressources indispensables sont :
- l'expertise : savoir interpréter, savoir adapter
- la disponibilité : ou plutôt le temps de réaction.
Toutes ressources généralement non présentes …
(Et je ne parle même pas des pré-requis techniques : positionnement, liens avec d'autres machines, ...)
Alors l'IDS est une belle idée ... mais, comme l'écrivait ccnet, il y a BEAUCOUP d'autres choses à faire avant pour améliorer la sécurité de son réseau.
NB : déjà si au lieu de configurer une "dmz" sursa box,on commençait par ne configurer que les renvois utiles ...
-
Ce genre de test perso me servira certainement plus tard dans des mises en prod, cependant ce genre de test me permet clairement d'appréhender la solution et la comprendre à "petite" échelle. Vous n'avez pas un lien ou des infos pour comprendre comment gérer un IDS ? et quel genre de choses faut il appréhender avant l'installation de cette technologie ?
-
Le site de Snort comporte beaucoup de document très intéressants. Deux livres en anglais chez O' Reilly.
http://search.oreilly.com/?q=snort
Le redbook IBM sur leur solution IPS IDS est intéressant aussi.
Dans ce domaine il va falloir vous prendre par la main et chercher les infos vous même si vous voulez construire une expertise. -
Il me faut juste quelques pistes pour débuter, quel livre me conseillerez vous dans cette liste: Amazon (dans la langue de Molière de préférence ;D)
-
Si un seul, le premier.
-
très bien merci beaucoup, si je comprends bien un IDS est comme un antivirus, il s'installe sur uen plateforme Unix/Linux/Windows et se configure de façon pointue ?
Existe t'il des OS spécialement dédiées à ça ?
Il vaut mieux mettre un firewall devant un IDS?EDIT: livre commandé :D :D :D
-
Désolé pour mon premier lien qui n'est plus actif. Celui ci l'est : http://beta.redes-linux.com/manuales_english/seguridad/snort_enterprise.pdf même si ancien les principes demeurent.
Si il n' y a pas d'OS dédié en open source il y des plateformes complète pour gagner du temps comme EasyIDS : http://www.skynet-solutions.net/easyids/default.asp
Pour le placement ce n'est ni devant ni derrière mais plutôt … à côté. Ce n'est ni une plaisanterie ni un jeu de mot. Une bonne méthode consiste à utiliser un switch administrable permettant de créer Vlan et span port (port de copie) comme les Cisco 2900XL et autres. Le switch va copier tout le trafic d'un ou plusieurs port vers un autre sur lequel on branchera la sonde, c'est à dire une interface réseau de Snort sans adresse ip. Une seconde interface, sur un réseau protégé, sera utilisée pour l'administration Snort et la consultation des alertes. On est donc parfois amené à placer plusieurs sondes en différents endroits du réseau. Pfsense 2 disposera d'un port de copie. C'est une configuration qui dissimule assez bien Snort ce qui est important. Une méthode d'attaque consiste à inonder l'IDS, ce qui suppose qu'il a été détecté, pour se dissimuler ou le saturer.
Nous sommes assez loin de l'antivirus.La configuration consiste en particulier à choisir les jeux de règles que l'on active selon ses besoins. Pas nécessaire de déclencher des alertes sur des tentatives dirigées contre SQL Server si l'on utilse MySQL.
IDS Policy Manager peut être utile pour une partie de ce travail. -
Merci beaucoup ccnet,
Ah oui j'avais lu un article sur les spanport, ça tombe bien dans mon environnement de test j'ai un 2900XL :D, mais dans ce cas là l'IDS agit un peu comme un sniffer, il surveille mais peut il agir ou ne fait il que remonter les alertes ? -
Quand on lance ccnet sur snort, ça déménage … Et j'aime bien ça, car on est souvent d'accord !
Evidemment, il faut choisir dans la collection O'Reilly !
Il y a quelques Linux Magazine qui ont aussi parlé d'IDS :
- juin 2010 : OSSEC un HIDS qui fait le café
- Hors-série 41 : Configurer et optimiser son firewall
(Et pourquoi aussi peu d'articles sur le sujet ... cherchez bien !)
Evidemment le site de référence www.snort.org où on s'aperçoit qu'il y a derrière la société sourcefire qui détient aussi ... clamav.
Je répète qu'il est nécessaire d'avoir une (très très) bonne culture réseau : on parle de paquet ip, presque de l'ethernet de base !
Et bien évidemment il faut avoir compris les couches de tcp/ip et connaitre à fond les protocoles usuels (smtp, http, dns, icmp, ...............)
(D'habitude on met seulement 3 points de suspension !)Le positionnement (et la prise de trafic) est indiqué par ccnet, normal.
Faut-il ajouter qu'il est très dangereux d'imaginer agir sur le trafic (afin de ne pas de créer un auto denial of service !) ? -
Ah bah en effet je viens de me souvenir de où j'avais vu ces infos… J'avais acheter le linux mag sur OSSEC l'HIDS qui fait le café et avec mes dernières recherches je comprends bien mieux comment cela fonctionne.
Mon livre arrive lundi :D :D :D mes nuits vont être longues ::)
J'ai plutôt une bonne culture réseau, j'adore ce domaine, mais j'ai encore énormément à apprendre ça c'est sur.
Je comprends bien que si l'IDS agissait de façon trop agressive un auto-denial of service serait vraiment paradoxal... une sorte "d'auto agression" ;D- Mais dans ce cas l'IDS ne fait que dire "eh ya eu une tentative d'intrusion là" mais qui agit ou qui peut le bloquer ? le firewall ?
- Il y a une communication entre l'IDS et le firewall ? On peut peut être voir l'IDS comme une machine branchée en parallèle du firewall ?
(Qui a dit que je me posais beaucoup de question ? ::))
-
Bonjour,
Personnellement en production je suis d'accord, mais pour un réseau personnel depuis que j'ai intégré Snort, HAVP and Co j'ai beaucoup moi de trafic chez moi qui comporte quand même de la vidéo surveillance, un serveur multimédia, deux portable, des appareils Hifi en réseau, une Wii.. Je suis peut-être une exception mais je me vois mal avoir une machine pour Snort, une pour un antivirus…..
De plus j'avais peur que la bande passante en prenne un coup, ben non toujours autant.
Maintenant pour Pfsense il serait vraiment judicieux pour le Team Pfsense de faire la différence entre des Packages 100% compatible, ceux qui tournent et ceux qui pourrait tourner. Car la désinstallation voir la configuration de certain est un peut limite.
Et quand on voit les logs de Snort on est un peut envahi.
Mais je remercie quand même ceux qui nous aides et Pfsense qui apporte la seule solution qui intègre un peut tous ce que l'on veut.
@+
Actuellement tourne sur Pfsense selon ma config. Voir ce poste. http://forum.pfsense.org/index.php/topic,33511.0.html
Reste à corrigée les erreurs du log et à stabilisé le tous.