Snort http_inspect



  • Hallo

    habe gerade Snort installiert. Klappt auch fast alles bis auf 50% aller Websiten ;) Erst dacht ich mir … ja is doch egal.
    Aber jetzt nervt mich das doch ein wenig. In der Alerts-Liste stehen dann die IPs der Websiten mit den Grund http_inspect
    Und naja. Das sind websiten wie Google & Amazon also denke ich die sind nicht böse ;)
    Weiss jemand wie man das behebt?



  • Moin,

    Und naja. Das sind websiten wie Google & Amazon also denke ich die sind nicht böse

    Das ist leider nicht sicher. Viele Webseiten binden externe Quellen ein und Patsch schon hast Du Dreck auf dem Rechner  :o

    -teddy


  • Banned

    Hi again!

    Es gibt hier verschiedene Anleitungen, wie man sich an Snort und Konsorten herantastet. Üblicherweise wird empfohlen, den BLOCK erstmal nicht aktiv zu schalten und die logs im Auge zu behalten, damit man für sich entscheiden kann, was für Regeln man sinnvollerweise deaktivieren muss/kann (false positives).

    Ich habe z.B. ein Interface, wenn ich da für meine Arbeit recherchiere, mache ich gleich an einem anderen Rechner/anderen Netz eine GUI für den Router auf, um BLOCKs von Snort aufzuheben und ggf. kurzzeitig Snort auf dem Interface ganz zu deaktivieren. Anders bekomme ich meine Arbeit nicht getan. Dafür sitzt dieser Rechner mittlerweile in einem eigenen Netz und ist auch anderweitig abgeschirmt.

    Völlig Sicherheit bekommst du nicht, es sei denn, du verzichtest VÖLLIG auf dieses Interweb-Dings… ;-)



  • naja denke dann werden nur diese Werbung iframes geblockt und nicht gleich die ganze Seite?
    wollte nur wissen wie man diese eine Regel deaktiviert :)
    selbst wenn ich auf das rote x klicke is diese Access denied im squid Cache… Dann im Browser Cache... Also das nervt auch mit Ner gui nebenbei :)
    Danke für eure antworten


  • Banned

    Also wenn nichts geblockt wird, wird nichts geblockt. Du siehst nur im log, was so an den Interfaces vorbeirauscht.

    Bisher war Snort sowieso nicht in-line, also ein wirklicher Schutz, selbst wenn es blockt, sind die ersten Pakete sowieso schon in deinem Netz.

    Im Prinzip solltest du die Regel durch das Klicken auf das rote Kreuz deaktivieren. Kann sein, dass du das sowohl auf deinem WAN als auch auf deinem entsprechenden LAN machen musst, falls auf beiden Interfaces alarmiert wird. Aber im Prinzip sollte es so gehen. Theoretisch kannst du in der Konfig für das jeweilige Interface auch die ganze Gruppe von Regeln deaktivieren (http_inspect)…



  • letzteres hatte ich vor - aber ich finde nicht wo :(


  • Banned

    Du musst in Services -> Snort auf das gewünschte Interface klicken (Bleistiftsymbol, zum editieren) und dort auf das Preprocessors TAB gehen (bei WAN heißt es "WAN preprocs"), dort findest du weiter unten

    "HTTP inspect"

    und kannst das komplett deaktivieren. Wird aber allgemein nicht empfohlen, die Preprocs komplett rauszunehmen, eher einzelne Regeln, die stören…


Log in to reply