123788
Sep 13, 2019
1412
9
0
PfSense: Snort alerted nicht
Hi zusammen,
um damit mal etwas zu experimentieren habe ich mir pfSense mit Snort in einer VM aufgesetzt.
pfSense kenne ich schon länger, Snort nicht.
Habe ein youtube-Video und einige Tutorials gegoogelt und Snort erstmal dementsprechend eingerichtet.
Heißt: Ein Interface (WAN) hinzugefügt, einen Oink-Code eingetragen, die Regelsätze heruntergeladen und erst einmal alle Regeln aktiviert.
Blocking habe ich noch nicht an, möchte ja nur testen.
Der Traffic läuft definitiv vom LAN über das WAN-Interface, es wird aber nichts alerted.
Kenne das von früher noch so, dass selbst bei normalem Netzwerkverkehr auch harmloses alerted wird, bis man sich eine entsprechende Suppress-List gebaut hat.
Es kamen einige Alerts zu ARP-Spoofing, sonst nichts. Snort scheint also grundsätzlich zu funktionieren, aber irgendetwas scheint noch zu fehlen...
Habt ihr Tipps für mich?
Mehr Infos gern auf Nachfrage.
um damit mal etwas zu experimentieren habe ich mir pfSense mit Snort in einer VM aufgesetzt.
pfSense kenne ich schon länger, Snort nicht.
Habe ein youtube-Video und einige Tutorials gegoogelt und Snort erstmal dementsprechend eingerichtet.
Heißt: Ein Interface (WAN) hinzugefügt, einen Oink-Code eingetragen, die Regelsätze heruntergeladen und erst einmal alle Regeln aktiviert.
Blocking habe ich noch nicht an, möchte ja nur testen.
Der Traffic läuft definitiv vom LAN über das WAN-Interface, es wird aber nichts alerted.
Kenne das von früher noch so, dass selbst bei normalem Netzwerkverkehr auch harmloses alerted wird, bis man sich eine entsprechende Suppress-List gebaut hat.
Es kamen einige Alerts zu ARP-Spoofing, sonst nichts. Snort scheint also grundsätzlich zu funktionieren, aber irgendetwas scheint noch zu fehlen...
Habt ihr Tipps für mich?
Mehr Infos gern auf Nachfrage.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 494566
Url: https://administrator.de/contentid/494566
Printed on: April 23, 2024 at 08:04 o'clock
9 Comments
Latest comment
Moin,
auf deinem Konfigurierten Interface würde auch nur Traffic von extern (WAN) geloggt werden.
Kopiere das Interface und ändere es auf LAN.
Dann siehst du etwas.
Gruß
Spirit
auf deinem Konfigurierten Interface würde auch nur Traffic von extern (WAN) geloggt werden.
Kopiere das Interface und ändere es auf LAN.
Dann siehst du etwas.
Gruß
Spirit
Hey!
Entschuldige, ich habe vergessen zu schreiben, das bereits probiert zu haben. Leider ohne Erfolg.
Aber für's Verständnis: Wenn Traffic vom LAN über's WAN Interface läuft, müsste doch trotzdem protokolliert werden?
Entschuldige, ich habe vergessen zu schreiben, das bereits probiert zu haben. Leider ohne Erfolg.
Aber für's Verständnis: Wenn Traffic vom LAN über's WAN Interface läuft, müsste doch trotzdem protokolliert werden?
Genau. Dann sollte protokolliert werden.
Die Frage ist halt was du eingerichtet hast und welche regeln wie behandelt werden.
Womit testest du?
Die Frage ist halt was du eingerichtet hast und welche regeln wie behandelt werden.
Womit testest du?
Leite meinen lokalen http/s-Traffic über die Kiste.
Ohne Suppress-List sollte auch das schon ein paar Standard-Fehler liefern, ich rufe einfach beliebig normale Websites auf.
Auf Seiten Snorts sind wie gesagt alle herunterladbaren Regeln aktiviert.
Ohne Suppress-List sollte auch das schon ein paar Standard-Fehler liefern, ich rufe einfach beliebig normale Websites auf.
Auf Seiten Snorts sind wie gesagt alle herunterladbaren Regeln aktiviert.
ich rufe einfach beliebig normale Websites auf.
Das ist ja auch beliebiger, normaler Traffic. Was sollte Snort denn auch da alarmieren wenn alles sauber ist ??
Da hast du recht. Aber zumindest vor einigen Jahren war es so, dass bei eingeschalteten Regeln erstmal alles mögliche alerted wurde. Zu lange Strings auf irgendwelchen Websites usw.
Daher wundert mich, dass nun garnichts kommt.
Gibt es denn sowas wie das eicar-Testfile für Snort, also kann ich mein IPs irgendwie testen?
Nen Portscan mit nmap ginge, aber ansonsten?
Daher wundert mich, dass nun garnichts kommt.
Gibt es denn sowas wie das eicar-Testfile für Snort, also kann ich mein IPs irgendwie testen?
Nen Portscan mit nmap ginge, aber ansonsten?
Edit: Habt ihr alternativ ein Tutorial für mich von dem ihr definitiv wisst, dass es so funktioniert?
Dann könnte ich anhand dessen mal prüfen, ob ich schlicht einen Schritt vergessen habe...
Dann könnte ich anhand dessen mal prüfen, ob ich schlicht einen Schritt vergessen habe...
*push*
Ein richtiges tut dafür gibt es aktuell nicht bzw. Sind diese etwas veraltet.
Ich habe mir die infos dazu selbst zusammen suchen müssen. Wenn du genauer beschreibst wo Hilfe nötig ist, kann ich dich unterstützen.
Ich habe mir die infos dazu selbst zusammen suchen müssen. Wenn du genauer beschreibst wo Hilfe nötig ist, kann ich dich unterstützen.
