SNORT



  • Que tal, alguien sabe o tiene un manual para configurar SNORT ?

    He estado leyendo un poco, y me parece una herramienta fascinante…

    Pero algunos conceoptos no me kedan claros..

    He tenido problemas para blockear ultrasurf por firewall (no puedo) y checando en los post en ingles vi alguien q recomendaba hacerlo con SNORT, que es por lo que empeze a leer.



  • Hola.

    Como funciona ultrasurf?



  • Google bloquear ultrasurf site:forum.pfsense.org

    Si tienes Squid no transparente + squidGuard activa in-addr en squidGuard y emplea también listas negras que incluyan la expresión ultrasurf

    También es cierto que puedes hacerlo con snort si tienes el patrón (regla de snort) para detectar ese tipo de tráfico. Piensa que snort es inspección de paquetes y requiere bastante máquina.

    Snort en una máquina dedicada, comunicada con pfSense, www.bellera.cat/josep/snort2pfsense


  • Rebel Alliance

    Por aquí una "guía rápida" de Snort, escrita por bmeeks (Package Mantainer de Snort)

    https://forum.pfsense.org/index.php/topic,61018.0.html

    También está comenzando el desarrollo del paquete Suricata (que eventualmente se podría utilizar como reemplazo de snort)

    https://forum.pfsense.org/index.php/topic,73353.0.html



  • De como funciona lo comento, por que ya anteriormente habia observado como trabajan los programas como ultrasurf, y lo bloquie sin problemas entendiendo como opera sin necesidad de algun programa extra.
    Saludos.



  • @bellera:

    Google bloquear ultrasurf site:forum.pfsense.org

    Si tienes Squid no transparente + squidGuard activa in-addr en squidGuard y emplea también listas negras que incluyan la expresión ultrasurf

    También es cierto que puedes hacerlo con snort si tienes el patrón (regla de snort) para detectar ese tipo de tráfico. Piensa que snort es inspección de paquetes y requiere bastante máquina.

    Snort en una máquina dedicada, comunicada con pfSense, www.bellera.cat/josep/snort2pfsense

    No entendi…. esa flag te niega el uso de numeros en las direcciones ? Es la opcion que dice: Do "not allow IP-Addresses in URL"

    @periko:

    De como funciona lo comento, por que ya anteriormente habia observado como trabajan los programas como ultrasurf, y lo bloquie sin problemas entendiendo como opera sin necesidad de algun programa extra.
    Saludos.

    Me esta costando un poco entender el funcionamiento de las reglas…

    Segun entiendo ultrasurf crea un tunnel entre un servidor proxy y tu maquina, que usa el puerto 443 para comunicarse y alguno de rango alto en tu pc.

    Como seria la regla ? Si son puertos aleatorios ? Nunca terminaria.



  • Ultrasurf, me corrigen si estoy mal.

    Se instala en el cliente, se pone como servicio y este abre un puerto en la maquina del cliente, por lo regular alto > 1024.

    De ahi el trata de usar ese puerto para salir, pero si en tu firewall solo dejas a tu LAN salir los puertos que necesitas, no podra hacer nada.

    Y si tienes squid mucho mejor.

    Saludos.



  • No entendi…. esa flag te niega el uso de numeros en las direcciones ? Es la opcion que dice: Do "not allow IP-Addresses in URL"

    Sí. Ultrasurf tiene un juego de ips de destino que son proxys externos en puertos TCP 80, 443, 22…

    De esta forma intenta pasar desapercibido como si fuese un navegador hacia esas IPs. Denegando la navegación por IP así como las URL que contengan ultrasurf se bloquea el programa.

    A menos que haya cambiado… Discutido hace tiempo en:

    https://forum.pfsense.org/index.php/topic,59226.msg318503.html#msg318503


Log in to reply