International Support > Italiano

Probemi di connessione con SNORT

(1/4) > >>

federicop:
Buongiorno.... in questi ho installato per maggior sicurezza alcuni pacchetti (pfBlocker e Snort).

premetto che non sono un esperto in sicurezza e firewall ma sto cercando di muovermi in questo mondo affascinante.

Da quanto ho potuto capire, leggendo e studiando, il blocco Firewall-pfBlocker-Snort, sono complementari tra loro e servono per risolvere problemi differenti.

Il firewall permette di aprire/chiudere porte per indirizzi ip specifici (singoli o range) configurando Rules;
pfBlocker permette tramite alcuni link di avere degli indirizzi ip specifici considerati spam sempre aggiornati, quindi va ad interagire con il firewall e i Rules (sopracitati)
Snort permette di analizzare il traffico in ingresso e in uscita ed effettua azioni sul su flusso dati "anomalo" tipo bloccare un ip per un determinato tempo (Remove Blocked Hosts Interval - io ho messo un ora); (non ho ben capito dove posso impostare il "livello" di anomalo e se si può fare)

detto ciò, se ho interpretato bene avendo configurato le cose con questa logica dovrebbe funzionare tutto.

in realtà da quando ho installato Snort (solo Wan) ho questo problema:
sembra che per un determinato range di tempo io non possa fare certe azioni;
tipo il mio server di posta in uscita, mi lascia in coda di uscita messaggi normal;
alcuni siti non si aprono (es. vodafone) poi se aggiorno la pagina la carica ma parzialmente poi si riblocca;
Con un client open VPN mi collego tranquillamente, poi mi scollego dopo un attimo tento di ricollegarmi e non riesco a farlo, riprovo dopo un oretta e mi fa ricollegare;

cercando di capire ho trovato anche un'anomalia nel traffico, cioè guardando il grafico che allego c'è traffico in uscita dalla Lan out che la Wan in blocca e non fa uscire, ho controllato  la provenienza e si tratta di un ip interno alla rete che però ho inserito sia su Snort sia nei Rule con WhiteList e passaggio ok (in quanto ok).

però nonostante sia in WhiteList e passaggio ok (in quanto ok) il firewall lo blocca lo stesso, quindi non essendo molto esperto non capisco se Snort vedendo questo traffico anomalo mi mette in Blacklist e  mi sospende il traffico oppure dipende da altro....

scusate la lugaggine e spero di essermi spiegato.
grazie

pfsense v. 2.4.2
pfblocker v. 2.1.2_2
snort v. 3.2.9.5_4   

federicop:
nessuno?  :'(

federicop:
Allora.... ho fatto questo controllo, apro una pagina web "normale" sito La repubblica e


il firewall
Dec 15 08:27   LAN   X.X.X.XMIO PC   104.106.82.165:80

allert di snorc
2017-12-15
08:09:18   3   TCP   Not Suspicious Traffic   WAN X.X.X.X
     13144   104.106.82.165
       80   119:2
     (http_inspect) DOUBLE DECODING ATTACK

 :o :o

sospetto che abbia configurato WAN categori e WAN rules dentro snort..... allego le immagini delle mie configurazioni

federicop:
Altra prova fatta.... disattivo il servizio di snort e funziona tutto... cioè le pagine che un attimo prima si bloccavano funzionano, quindi è quasi certo che ho configurato male i parametri di snort.

risultato che voglio ottenere è meggiore sicurezza per attacchi dall'esterno ed eventualmente isolare per x tempo un ip che sta "attacando" in maniera anomala, ma la rete interna deve essere "libera"

grazie

alverman:
Sarei interessato anch'io ....
ho disattivato snort per lo stesso problema

Navigation

[0] Message Index

[#] Next page

Go to full version