International Support > Italiano
Probemi di connessione con SNORT
federicop:
Buongiorno.... in questi ho installato per maggior sicurezza alcuni pacchetti (pfBlocker e Snort).
premetto che non sono un esperto in sicurezza e firewall ma sto cercando di muovermi in questo mondo affascinante.
Da quanto ho potuto capire, leggendo e studiando, il blocco Firewall-pfBlocker-Snort, sono complementari tra loro e servono per risolvere problemi differenti.
Il firewall permette di aprire/chiudere porte per indirizzi ip specifici (singoli o range) configurando Rules;
pfBlocker permette tramite alcuni link di avere degli indirizzi ip specifici considerati spam sempre aggiornati, quindi va ad interagire con il firewall e i Rules (sopracitati)
Snort permette di analizzare il traffico in ingresso e in uscita ed effettua azioni sul su flusso dati "anomalo" tipo bloccare un ip per un determinato tempo (Remove Blocked Hosts Interval - io ho messo un ora); (non ho ben capito dove posso impostare il "livello" di anomalo e se si può fare)
detto ciò, se ho interpretato bene avendo configurato le cose con questa logica dovrebbe funzionare tutto.
in realtà da quando ho installato Snort (solo Wan) ho questo problema:
sembra che per un determinato range di tempo io non possa fare certe azioni;
tipo il mio server di posta in uscita, mi lascia in coda di uscita messaggi normal;
alcuni siti non si aprono (es. vodafone) poi se aggiorno la pagina la carica ma parzialmente poi si riblocca;
Con un client open VPN mi collego tranquillamente, poi mi scollego dopo un attimo tento di ricollegarmi e non riesco a farlo, riprovo dopo un oretta e mi fa ricollegare;
cercando di capire ho trovato anche un'anomalia nel traffico, cioè guardando il grafico che allego c'è traffico in uscita dalla Lan out che la Wan in blocca e non fa uscire, ho controllato la provenienza e si tratta di un ip interno alla rete che però ho inserito sia su Snort sia nei Rule con WhiteList e passaggio ok (in quanto ok).
però nonostante sia in WhiteList e passaggio ok (in quanto ok) il firewall lo blocca lo stesso, quindi non essendo molto esperto non capisco se Snort vedendo questo traffico anomalo mi mette in Blacklist e mi sospende il traffico oppure dipende da altro....
scusate la lugaggine e spero di essermi spiegato.
grazie
pfsense v. 2.4.2
pfblocker v. 2.1.2_2
snort v. 3.2.9.5_4
federicop:
nessuno? :'(
federicop:
Allora.... ho fatto questo controllo, apro una pagina web "normale" sito La repubblica e
il firewall
Dec 15 08:27 LAN X.X.X.XMIO PC 104.106.82.165:80
allert di snorc
2017-12-15
08:09:18 3 TCP Not Suspicious Traffic WAN X.X.X.X
13144 104.106.82.165
80 119:2
(http_inspect) DOUBLE DECODING ATTACK
:o :o
sospetto che abbia configurato WAN categori e WAN rules dentro snort..... allego le immagini delle mie configurazioni
federicop:
Altra prova fatta.... disattivo il servizio di snort e funziona tutto... cioè le pagine che un attimo prima si bloccavano funzionano, quindi è quasi certo che ho configurato male i parametri di snort.
risultato che voglio ottenere è meggiore sicurezza per attacchi dall'esterno ed eventualmente isolare per x tempo un ip che sta "attacando" in maniera anomala, ma la rete interna deve essere "libera"
grazie
alverman:
Sarei interessato anch'io ....
ho disattivato snort per lo stesso problema
Navigation
[0] Message Index
[#] Next page
Go to full version