Error pfBlocker

mau9000

Buongiorno a tutti, mi viene restituito in modo sporadico questo errore:

[ There were error(s) loading the rules: /tmp/rules.debug:27: cannot define table pfBlockerEurope: Cannot allocate memory - The line in question reads [27]: table persist file /var/db/aliastables/pfBlockerEurope.txt]

Guardando altri topic, espongono come soluzione l'aumento delle dimensioni da allocare per le tabelle ma andando a vedere le varie tabelle usate, la situazione è questa:

State table size left barred bargray barright bar
0% (182/202000)

MBUF Usage left barred bargray barright bar
6% (1542/25600)

Load average
0.00, 0.01, 0.00

Memory usage left barred bargray barright bar 
9% of 2025 MB

SWAP usage left barred bargray barright bar 
0% of 4096 MB

Disk usage left barred bargray barright bar 
0% of 447G

Non capisco il perché dia un errore di allocazione, qualcuno di voi sa aiutarmi?? Grazie in anticipo per il supporto

BBcan177

Ciao mau9000,

System: Advanced: Firewall and NAT

Firewall Maximum Table Entries

Maximum number of table entries for systems such as aliases, sshlockout, snort, etc, combined.
Note: Leave this blank for the default.

FYI

Codici dei paesi in pfblocker realtà è vecchio. e non dovrebbe essere usato

mau9000

@BBcan17:

Ciao mau9000,

System: Advanced: Firewall and NAT

Firewall Maximum Table Entries

Maximum number of table entries for systems such as aliases, sshlockout, snort, etc, combined.
Note: Leave this blank for the default.

FYI

Codici dei paesi in pfblocker realtà è vecchio. e non dovrebbe essere usato

Ti ringrazio della risposta, che valore dovrei inserire nel campo Firewall Maximum Table Entries??
Che sistema mi consigli di usare in pfblocker??

Grazie in anticipo

BBcan177

@mau9000:

Ti ringrazio della risposta, che valore dovrei inserire nel campo Firewall Maximum Table Entries??
Che sistema mi consigli di usare in pfblocker??
Grazie in anticipo

Credo che il valore predefinito è 10.000. Così si può salire da lì

La tabella può essere 10.000 o oltre 1.000.000 o più

È necessario aggiungere tutto lo Blocklist (IPs) + Snort (tabella snort2c, se si utilizza Snort). Questo ti consente di sapere quale valore da utilizzare per la tavola (Aggiungi certa percentuale extra)

Ci sono molti blocklists diversi che possono essere utilizzati.

Sul Forum inglese, ho postato una lista di elenchi dei blocchi che si può usare.

https://forum.pfsense.org/index.php?topic=73353.msg402927#msg402927

Scusate il mio italiano come la mia eredità è italiano, ma "Google Translate" è mio amico.  ;)

mau9000

@BBcan17:

@mau9000:

Ti ringrazio della risposta, che valore dovrei inserire nel campo Firewall Maximum Table Entries??
Che sistema mi consigli di usare in pfblocker??
Grazie in anticipo

Credo che il valore predefinito è 10.000. Così si può salire da lì

La tabella può essere 10.000 o oltre 1.000.000 o più

È necessario aggiungere tutto lo Blocklist (IPs) + Snort (tabella snort2c, se si utilizza Snort). Questo ti consente di sapere quale valore da utilizzare per la tavola (Aggiungi certa percentuale extra)

Ci sono molti blocklists diversi che possono essere utilizzati.

Sul Forum inglese, ho postato una lista di elenchi dei blocchi che si può usare.

https://forum.pfsense.org/index.php?topic=73353.msg402927#msg402927

Scusate il mio italiano come la mia eredità è italiano, ma "Google Translate" è mio amico.  ;)

Ti ringrazio dell'aiuto e non preoccuparti del tuo italiano :) . Quale dei tanti elenchi dovrei utilizzare secondo te??

BBcan177

@mau9000:

Ti ringrazio dell'aiuto e non preoccuparti del tuo italiano :) . Quale dei tanti elenchi dovrei utilizzare secondo te??

Vorrei raccomandare queste liste al minimo

ET
http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
http://rules.emergingthreats.net/blockrules/compromised-ips.txt

Spamhaus
http://www.spamhaus.org/drop/drop.txt
http://www.spamhaus.org/drop/edrop.txt

Abuse Zeus/SpyEye/Palevo
https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist
https://spyeyetracker.abuse.ch/blocklist.php?download=ipblocklist
https://palevotracker.abuse.ch/blocklists.php?download=ipblocklist

dShield
http://feeds.dshield.org/top10-2.txt

AlienVault
https://reputation.alienvault.com/reputation.snort

CIArmy
http://www.ciarmy.com/list/ci-badguys.txt

Altri elenchi di scegliere

IBlock List  https://www.iblocklist.com/lists.php
IBlock ha diversi elenchi dei blocchi da scegliere, ma dipende da cosa si vuole raggiungere.

(queste sono le liste che uso)
http://list.iblocklist.com/?list=bt_hijacked&fileformat=p2p
http://list.iblocklist.com/?list=ficutxiwawokxlcyoeye&fileformat=p2p
http://list.iblocklist.com/?list=ghlzqtqxnzctvvajwwag&fileformat=p2p
http://list.iblocklist.com/?list=tbnuqfclfkemqivekikv&fileformat=p2p
http://list.iblocklist.com/?list=bt_spyware&fileformat=p2p
http://list.iblocklist.com/?list=bt_templist&fileformat=p2p

Puoi Google Search ciascun sito web blocklist e vedere qual è lo scopo delle liste
Dalla mia lista originale, io uso tutti.

nothink è un Blocklist italiano
http://www.nothink.org/blacklist/blacklist_malware_http.txt
http://www.nothink.org/blacklist/blacklist_ssh_week.txt
http://www.nothink.org/blacklist/blacklist_malware_dns.txt

mau9000

@BBcan17:

@mau9000:

Ti ringrazio dell'aiuto e non preoccuparti del tuo italiano :) . Quale dei tanti elenchi dovrei utilizzare secondo te??

Vorrei raccomandare queste liste al minimo

ET
http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
http://rules.emergingthreats.net/blockrules/compromised-ips.txt

Spamhaus
http://www.spamhaus.org/drop/drop.txt
http://www.spamhaus.org/drop/edrop.txt

Abuse Zeus/SpyEye/Palevo
https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist
https://spyeyetracker.abuse.ch/blocklist.php?download=ipblocklist
https://palevotracker.abuse.ch/blocklists.php?download=ipblocklist

dShield
http://feeds.dshield.org/top10-2.txt

AlienVault
https://reputation.alienvault.com/reputation.snort

CIArmy
http://www.ciarmy.com/list/ci-badguys.txt

Altri elenchi di scegliere

IBlock List  https://www.iblocklist.com/lists.php
IBlock ha diversi elenchi dei blocchi da scegliere, ma dipende da cosa si vuole raggiungere.

(queste sono le liste che uso)
http://list.iblocklist.com/?list=bt_hijacked&fileformat=p2p
http://list.iblocklist.com/?list=ficutxiwawokxlcyoeye&fileformat=p2p
http://list.iblocklist.com/?list=ghlzqtqxnzctvvajwwag&fileformat=p2p
http://list.iblocklist.com/?list=tbnuqfclfkemqivekikv&fileformat=p2p
http://list.iblocklist.com/?list=bt_spyware&fileformat=p2p
http://list.iblocklist.com/?list=bt_templist&fileformat=p2p

Puoi Google Search ciascun sito web blocklist e vedere qual è lo scopo delle liste
Dalla mia lista originale, io uso tutti.

nothink è un Blocklist italiano
http://www.nothink.org/blacklist/blacklist_malware_http.txt
http://www.nothink.org/blacklist/blacklist_ssh_week.txt
http://www.nothink.org/blacklist/blacklist_malware_dns.txt

Ti ringrazio dell'aiuto, ma purtroppo l'attacco continua…. come posso configurare SNORT per bloccare i tentativi errati all' SQL Server??

BBcan177

@mau9000:

Ti ringrazio dell'aiuto, ma purtroppo l'attacco continua…. come posso configurare SNORT per bloccare i tentativi errati all' SQL Server??

Questa è una piccola domanda con una grande risposta!  ???

Per cominciare, che cosa gli avvisi vedete nella Snort Alert Tab?

Avete SQL server accessibile dall'interfaccia WAN?

Hai bisogno di maggiori informazioni.

mau9000

@BBcan17:

@mau9000:

Ti ringrazio dell'aiuto, ma purtroppo l'attacco continua…. come posso configurare SNORT per bloccare i tentativi errati all' SQL Server??

Questa è una piccola domanda con una grande risposta!  ???

Per cominciare, che cosa gli avvisi vedete nella Snort Alert Tab?

Avete SQL server accessibile dall'interfaccia WAN?

Hai bisogno di maggiori informazioni.

Ieri ho installato SNORT ma non idea di come configurarlo per bloccare i tentativi falliti al SQL Server; SQL Server è accessibile da interfaccia WAN

Questo è il messaggio restituito dal log di SQL Server:

2014-05-17 06:45:45.13 Accesso    Errore: 18456, gravità: 14, stato: 8.
2014-05-17 06:45:45.13 Accesso    Login failed for user 'sa'. Motivo: password non corrispondente a quella dell'account di accesso specificato. [CLIENT: 23.234.53.192]

Io devo bloccare tutti gli ip che sbagliano la password almeno una volta

BBcan177

@mau9000:

Ieri ho installato SNORT ma non idea di come configurarlo per bloccare i tentativi falliti al SQL Server; SQL Server è accessibile da interfaccia WAN
Questo è il messaggio restituito dal log di SQL Server:
2014-05-17 06:45:45.13 Accesso    Errore: 18456, gravità: 14, stato: 8.
2014-05-17 06:45:45.13 Accesso    Login failed for user 'sa'. Motivo: password non corrispondente a quella dell'account di accesso specificato. [CLIENT: 23.234.53.192]
Io devo bloccare tutti gli ip che sbagliano la password almeno una volta

primario
Se è possibile cambiare la porta di default di 1433 per una porta oscura che sarebbe bene.
Si dovrebbe anche cambiare l'account admin predefinito e non usare "SA"
Se è possibile ridurre al minimo gli IPs (WAN) che possono collegarsi alla porta SQL dalla WAN.

Impostazioni per Snort.

Snort:WAN Settings:    Block Offenders
Snort:WAN Settings:    Kill States (Both)

È necessario configurare un "Alias​​" per IPs del server SQL nelle variabili Snort WAN Interface.
Firewall:ALIAS:    aggiungere "SQL_Servers"

• Type - HOST, aggiungere tutti gli IPs (Lan) del server SQL, SAVE.

Snort:WAN Settings:WAN Variables:Define SQL_SERVERS    - aggiungere "SQL_Servers" alias

Se si utilizzano le regole di configurazione di Snort, attivare le "snort_sql.rules"
Snort:WAN Categories:    attivare le "snort_sql.rules"

Rivedere le regole in questa categoria "snort_sql.rules" per "Brute Force" e consentire a tali regole.

–------------------------------

È possibile utilizzare il Snort "Port Scanner Pre-Processor" che possa bloccare gli IP che cercano di scansionare il vostro indirizzo WAN, questo è un buon modo primo turno a bloccare i trasgressori.

Snort:WAN Settings:WAN Pre-Procs:    Attivare "Portscan Detection"

Protocol - All
Scan Type - All
Sensitivity - Medium
Memory Cap - 10000000

–-----------------------------

Se si dispone di memoria sufficiente, si può anche fare lo stesso sul "Snort LAN Interface". Tipicamente 2-3GB per "Interface"

Una volta completate le modifiche, è necessario riavviare il Snort "Interfacce" per applicare le nuove impostazioni.

–-----------------------------

Monitorare il Snort "Alerts TAB" per vedere le segnalazioni sospette di Falsi Positivi

Snort richiede un sacco di tempo per configurare. Ma alla fine aiuterà a proteggere la vostra "Network".

Hai bisogno di giocare con le regole "Snort SQL" per vedere quali regole bloccare questi tentativi di forza bruta. Non ho SQL Server esposto sulla WAN così non posso suggerisco quali regole utilizzare esattamente.

Questa è una guida inglese "Snort"
https://forum.pfsense.org/index.php?topic=61018.0