Créer une règle snort à partir d'une capture de paquets + Snort STOP



  • Bonjour,

    Je précise que mon niveau de connaissances de pfsense est proche du débutant même si je sais créer des règles de base etc.

    Voilà mon ou plutôt mes problèmes:

    1. Snort est installé et configuré avec les règles Snort VRT et Emerging Threats. Néanmoins hier j'ai constaté un serveur russe qui faisait du dos sans être détecté (pas d'alerte et pas de blocage).
      Ma question donc est comment ajouter (étape par étape car les recherches google pour ajouter une règle personnalisée ne m'ont rien donné de compréhensible) une nouvelle règle pour détecter une attaque similaire à l'avenir?
      Voici la capture détaillée des paquets (j'ai remplacé mon IP par 111.222.333.444):
      http://pastebin.com/EtziHLeJ

    2. Snort a tendance à s'arrêter seul de façon aléatoire et je dois le relancer manuellement.
      J'ai téléchargé les fichiers snort.log.XXXXX situés dans /var/log/snort mais ça ne me dit pas grand chose d'autant que la majeure partie est illisible (caractères ASCII). Ou/comment trouver des infos me permettant de déterminer la cause de ces arrêts du service ?

    Merci d'avance pour toute aide/conseil qui pourra être apportée, je cherche également des tutoriels sur pfsense/snort si vous avez des suggestions je suis preneur!



  • Votre serveur russe est la machine à l'ip  94.41.155.72 ?

    Vous avez installé Snort sur Pfsense ? Si oui c'est une très mauvaise idée.
    Dans la passé, sur ce forum et sur Ixus.net, j'ai abondement expliqué pourquoi c'est une mauvaise idée et quelles sont les pratiques recommandables. En cherchant un peu vous devriez retrouver tout cela.

    Juste un qui m'est tombé sous la mail : http://forums.ixus.net/viewtopic.php?f=2&t=42377&start=0



  • @ccnet:

    Votre serveur russe est la machine à l'ip  94.41.155.72 ?

    Vous avez installé Snort sur Pfsense ? Si oui c'est une très mauvaise idée.
    Dans la passé, sur ce forum et sur Ixus.net, j'ai abondement expliqué pourquoi c'est une mauvaise idée et quelles sont les pratiques recommandables. En cherchant un peu vous devriez retrouver tout cela.

    Juste un qui m'est tombé sous la mail : http://forums.ixus.net/viewtopic.php?f=2&t=42377&start=0

    Oui c'est cette machine.

    Oui snort est installé en tant que package de pfsense (pas vraiement moyen de faire machine arrière c'est sur une box et j'ai des serveurs en prod aussi derrière).



  • Quel est l'intérêt de regarder des paquets qui, certes arrivent au firewall, mais qui ne traversent pas le firewall ?

    Il est parfaitement stupide de placer un IDS sur un firewall : il doit naturellement être placé APRES un firewall (Internet -> Firewall -> IDS).

    A la rigueur, le package peut avoir de l'intérêt sur un pfSense placé APRES le 1er firewall.

    Enfin, perso, je ne suis pas assez compétent (ni surtout ne dispose du temps) pour interpréter une alerte d'un IDS. Et ce malgré une expertise pratique de plusieurs années …



  • Je ne peux que confirmer. Un ids doit être indétectable ou le moins possible. Il est donc souhaitable de la faire fonctionner sans adresse ip pour l'interface qui analyse le trafic. Il faut éviter les interaction ids avec les autres dispositifs pour ne pas manquer de paquets. Or un ids détecté est facilement éludable par inondation de paquets. L'ids en manquera des paquets, certains passerons au travers de la détection. Les paquets fractionnés volontairement ne pourrons pas être ré assemblés.

    (pas vraiement moyen de faire machine arrière c'est sur une box et j'ai des serveurs en prod aussi derrière)

    Je ne vois vraiment pas le rapport, box, serveurs en prod …



  • Pour être plus précis pfsense est installé sur un serveur dédié/dedicated box qui fait office de NAT / pare feu HW.

    Derrière ce firewall j'ai d'autres serveurs dédiés. L'un d'entre eux héberge un serveur de jeu qui a été la cible de ce dos. ça n'a causé aucun souci vu la faible ampleur du trafic sauf pour le serveur de jeu lui même qui était inutilisable.

    Snort n'ayant pas automatiquement détecté/bloqué ce trafic pour l'empêcher d'arriver jusqu'au serveur de jeu. Je cherche simplement à ajouter une règle de détection pour ce type d'attaque.



  • Il n'empêche !

    Un bon schéma est :
    Internet <-> Firewall <-> zone DMZ

    Dans cette zone DMZ, on peut placer un IDS qui, à l'écoute de tous les flux c'est à dire sur un port mirroir du LAN du firewall, pourra analyser les flux DEJA filtrés par le firewall.

    Il importe de bien comprendre que le firewall doit déjà être très strict pour transférer JUSTE le flux nécessaire.
    A l'intérieur d'un flux autorisé, il peut y avoir des paquets anormaux, analysables avec un IDS.

    Je doute très fort de réussir cela sur un un serveur dédié hébergé …



  • Pardon pour ma naïveté ou mon ignorance (voire les 2) dans ce cas.

    Avec snort en package de pfsense je pensais qu'il filtrait les paquets APRES.

    J'ai déjà pas mal de filtres et règles via pfsense/pfblocker déjà.

    Snort me bloque également pas mal de trafic malicieux (notamment scan de ports, bruteforce etc) j'aimerais simplement qu'il détecte et bloque le type d'attaque cité dans mon premier post de façon automatique.



  • Il est parfaitement évident de ne pas regarder le flux WAN mais seulement le flux LAN !

    Regardez si ce qui est "arrêté" est avant ou après.

    Il n'y a pas d'énergie à regarder ce qui ne traverse pas le firewall …


Log in to reply