Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Snort http_inspect

    Scheduled Pinned Locked Moved Deutsch
    7 Posts 3 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      musk
      last edited by

      Hallo

      habe gerade Snort installiert. Klappt auch fast alles bis auf 50% aller Websiten ;) Erst dacht ich mir … ja is doch egal.
      Aber jetzt nervt mich das doch ein wenig. In der Alerts-Liste stehen dann die IPs der Websiten mit den Grund http_inspect
      Und naja. Das sind websiten wie Google & Amazon also denke ich die sind nicht böse ;)
      Weiss jemand wie man das behebt?

      1 Reply Last reply Reply Quote 0
      • magicteddyM
        magicteddy
        last edited by

        Moin,

        Und naja. Das sind websiten wie Google & Amazon also denke ich die sind nicht böse

        Das ist leider nicht sicher. Viele Webseiten binden externe Quellen ein und Patsch schon hast Du Dreck auf dem Rechner  :o

        -teddy

        @Work Lanner FW-7525B pfSense 2.7.2
        @Home APU.2C4 pfSense 2.7.2
        @CH APU.1D4 pfSense 2.7.2

        1 Reply Last reply Reply Quote 0
        • 2
          2chemlud Banned
          last edited by

          Hi again!

          Es gibt hier verschiedene Anleitungen, wie man sich an Snort und Konsorten herantastet. Üblicherweise wird empfohlen, den BLOCK erstmal nicht aktiv zu schalten und die logs im Auge zu behalten, damit man für sich entscheiden kann, was für Regeln man sinnvollerweise deaktivieren muss/kann (false positives).

          Ich habe z.B. ein Interface, wenn ich da für meine Arbeit recherchiere, mache ich gleich an einem anderen Rechner/anderen Netz eine GUI für den Router auf, um BLOCKs von Snort aufzuheben und ggf. kurzzeitig Snort auf dem Interface ganz zu deaktivieren. Anders bekomme ich meine Arbeit nicht getan. Dafür sitzt dieser Rechner mittlerweile in einem eigenen Netz und ist auch anderweitig abgeschirmt.

          Völlig Sicherheit bekommst du nicht, es sei denn, du verzichtest VÖLLIG auf dieses Interweb-Dings… ;-)

          1 Reply Last reply Reply Quote 0
          • M
            musk
            last edited by

            naja denke dann werden nur diese Werbung iframes geblockt und nicht gleich die ganze Seite?
            wollte nur wissen wie man diese eine Regel deaktiviert :)
            selbst wenn ich auf das rote x klicke is diese Access denied im squid Cache… Dann im Browser Cache... Also das nervt auch mit Ner gui nebenbei :)
            Danke für eure antworten

            1 Reply Last reply Reply Quote 0
            • 2
              2chemlud Banned
              last edited by

              Also wenn nichts geblockt wird, wird nichts geblockt. Du siehst nur im log, was so an den Interfaces vorbeirauscht.

              Bisher war Snort sowieso nicht in-line, also ein wirklicher Schutz, selbst wenn es blockt, sind die ersten Pakete sowieso schon in deinem Netz.

              Im Prinzip solltest du die Regel durch das Klicken auf das rote Kreuz deaktivieren. Kann sein, dass du das sowohl auf deinem WAN als auch auf deinem entsprechenden LAN machen musst, falls auf beiden Interfaces alarmiert wird. Aber im Prinzip sollte es so gehen. Theoretisch kannst du in der Konfig für das jeweilige Interface auch die ganze Gruppe von Regeln deaktivieren (http_inspect)…

              1 Reply Last reply Reply Quote 0
              • M
                musk
                last edited by

                letzteres hatte ich vor - aber ich finde nicht wo :(

                1 Reply Last reply Reply Quote 0
                • 2
                  2chemlud Banned
                  last edited by

                  Du musst in Services -> Snort auf das gewünschte Interface klicken (Bleistiftsymbol, zum editieren) und dort auf das Preprocessors TAB gehen (bei WAN heißt es "WAN preprocs"), dort findest du weiter unten

                  "HTTP inspect"

                  und kannst das komplett deaktivieren. Wird aber allgemein nicht empfohlen, die Preprocs komplett rauszunehmen, eher einzelne Regeln, die stören…

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.