Snort deveria bloquear port scan?



  • Prezados, estou achando estranho meu snort. Ele gera alerta de tudo que marquei nas regras, mas faco portscan da outra ponta da vpn, para o ip, ele gera diversos alertas em relacao a data leak mas nao bloqueia o ip. Sera que ele esta configurado corretamente? Ele deveria funcionar com outro pacote?

    Sim, esta habilitado o bloqueio de ip, apenas do source.

    Abcs!



  • @pedrolima88:

    Prezados, estou achando estranho meu snort. Ele gera alerta de tudo que marquei nas regras, mas faco portscan da outra ponta da vpn, para o ip, ele gera diversos alertas em relacao a data leak mas nao bloqueia o ip.

    Faz um bom tempo que não utilizo o Snort. Porém, acredito que utilizando a VPN para portscan, ele não deveria bloquear mesmo. Afinal, a razão de utilizar VPN é ter acesso quase totalmente seguro, não é? Ou será que entendi errado? Como você fez esse portscan? Com a VPN habilitada ou fora dela?



  • Fala Johhny, valeu pela repsosta mas eu nao estou utilizando o canal para fazer port scan, estou fazendo pela WAN.

    Na verdade ate agora ele nao gerou um block, sera que tem algo errado ?

    Como sugestao, pq parou de usar o snort?

    abcs



  • Parei de usar o Snort porque, até pouco tempo atrás, o Snort não reiniciava após os updates das regras. Tinha que ser reiniciado manualmente. Dentre alguns outros problemas bem documentados aqui no fórum em Packages.
    Na sexta passada 30/11/12, resolvi tentar o Snort novamente, dessa vez o Snort-dev 2.9.2.3 pkg v.3.0, rodando  no pfSense 2.1-BETA0 (amd64) built on Mon Nov 19 09:10:59 EST 2012. Até agora parece que tudo está bem mas ainda não habilitei a opção Block offenders.

    Quanto ao Port Scan, pelo menos aqui está gerando alertas, conforme imagem abaixo. Estou usando apenas as regras Emerging Threats.




  • Ola johnny!
    Entao, ele gera os alertas, ai por curiosidade eu marquei todas as opcoes que ele tem, emergnecy e normais. Ai sim ferrou tudo!
    bloqueou até o google dns.

    O que tenho achado falta é uma documetnacao de que cada parte dessa faz, e o que bloqueia. Sabe me ifnormar onde posso encontrar?

    Acreditoq ue no site do snort tenha, mas nem vi aida. Apenas por curiosidade, o que o sr. uitlizava?

    aabcs!!!



  • @pedrolima88:

    O que tenho achado falta é uma documetnacao de que cada parte dessa faz, e o que bloqueia. Sabe me ifnormar onde posso encontrar?

    Acreditoq ue no site do snort tenha, mas nem vi aida. Apenas por curiosidade, o que o sr. uitlizava?

    Basicamente, tenho utilizado as regras Emerging Threat conforme esse tópico, com algumas pequenas alterações:
    http://forum.pfsense.org/index.php/topic,18419.0.html

    E também Suppress list por causa dos vários Falsos Positivos:
    http://forum.pfsense.org/index.php/topic,56267.msg300977.html#msg300977

    No Snort consta uma breve descrição do que faz cada Rule, na aba Rules selecionando cada categoria.

    Maiores informações sobre Suppress list:
    http://nextsense.com.br/blog/archives/668



  • Thanksbro!  8)



  • johnny, sugere algo para ele nao bloquear o que já esta na whitelist? Estranho, ele bloqueia o linkedin constantemente alegando javascript com muitos espaços em branco…
    Ele buga assim mesmo ?



  • @pedrolima88:

    johnny, sugere algo para ele nao bloquear o que já esta na whitelist? Estranho, ele bloqueia o linkedin constantemente alegando javascript com muitos espaços em branco…
    Ele buga assim mesmo ?

    Respondendo a minha propria pergunta, parece meio engracado, mas na aba whitelist nao atende o whitelist quando voce configura a interface.
    voce tem que definiir um alias com o whitelist que voce quer e associar esse whitelist atrasves da droopbox que há dentro do menu interface, opcao whitelist.

    Se nao for por la, ele passa direto pelas whitelist definidas na aba. abcs!!!

    =======================

    negativo, continua deixando passar o ip do whitelist.

    alguem sugere algo ?



  • @pedrolima88:

    Thanksbro!  8)

    Rock'n'rolling!  8)

    Realmente, falta bastante documentação do Snort no pfSense. Várias e várias vezes, pensei em fazer alguns tutoriais. Mas quando eu notava a instabilidade do Snort no pfSense, eu simplesmente desistia: Imagina a quantidade de comentários com perguntas a responder? Basta olhar os tópicos abertos aqui no fórum em Packages.
    Certeza que eu não daria conta e, caso eu prestasse alguma ajuda, quem ajudaria financeiramente com doações? Poucos ajudaram os desenvolvedores do Snort no pfSense.
    Mal ajudam ao marcelloc que é desenvolvedor.
    Imagina eu, que sou apenas um mero colaborador!



  • @pedrolima88:

    @pedrolima88:

    johnny, sugere algo para ele nao bloquear o que já esta na whitelist? Estranho, ele bloqueia o linkedin constantemente alegando javascript com muitos espaços em branco…
    Ele buga assim mesmo ?

    Respondendo a minha propria pergunta, parece meio engracado, mas na aba whitelist nao atende o whitelist quando voce configura a interface.
    voce tem que definiir um alias com o whitelist que voce quer e associar esse whitelist atrasves da droopbox que há dentro do menu interface, opcao whitelist.

    Se nao for por la, ele passa direto pelas whitelist definidas na aba. abcs!!!

    =======================

    negativo, continua deixando passar o ip do whitelist.

    alguem sugere algo ?

    Não sei dizer, sinceramente. Como eu disse antes: Fiquei muito tempo sem usar o Snort e nunca precisei usar whitelist. No fórum pfSense Packages tem algumas coisas a esse respeito. Use o Search.  :)



  • show!
    eu cheguei a ver no search, mas o snort parece muito instavel mesmo, nao responde a whitelist no browser nem via ssh.

    Ele bloqueia mesmo!!!rs

    Vou deixar de lado e esperar um up!

    Valeu amigao, obrigado pela ajuda!! abcs!!!


Locked