Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense: Snort alerted nicht

Mitglied: mrserious73

mrserious73 (Level 1) - Jetzt verbinden

13.09.2019 um 14:08 Uhr, 335 Aufrufe, 9 Kommentare

Hi zusammen,

um damit mal etwas zu experimentieren habe ich mir pfSense mit Snort in einer VM aufgesetzt.
pfSense kenne ich schon länger, Snort nicht.

Habe ein youtube-Video und einige Tutorials gegoogelt und Snort erstmal dementsprechend eingerichtet.
Heißt: Ein Interface (WAN) hinzugefügt, einen Oink-Code eingetragen, die Regelsätze heruntergeladen und erst einmal alle Regeln aktiviert.
Blocking habe ich noch nicht an, möchte ja nur testen.

Der Traffic läuft definitiv vom LAN über das WAN-Interface, es wird aber nichts alerted.
Kenne das von früher noch so, dass selbst bei normalem Netzwerkverkehr auch harmloses alerted wird, bis man sich eine entsprechende Suppress-List gebaut hat.
Es kamen einige Alerts zu ARP-Spoofing, sonst nichts. Snort scheint also grundsätzlich zu funktionieren, aber irgendetwas scheint noch zu fehlen...

Habt ihr Tipps für mich?
Mehr Infos gern auf Nachfrage.
Mitglied: Spirit-of-Eli
13.09.2019 um 15:06 Uhr
Moin,

auf deinem Konfigurierten Interface würde auch nur Traffic von extern (WAN) geloggt werden.

Kopiere das Interface und ändere es auf LAN.
Dann siehst du etwas.

Gruß
Spirit
Bitte warten ..
Mitglied: mrserious73
13.09.2019 um 15:18 Uhr
Hey!

Entschuldige, ich habe vergessen zu schreiben, das bereits probiert zu haben. Leider ohne Erfolg.

Aber für's Verständnis: Wenn Traffic vom LAN über's WAN Interface läuft, müsste doch trotzdem protokolliert werden?
Bitte warten ..
Mitglied: Spirit-of-Eli
13.09.2019, aktualisiert um 15:24 Uhr
Genau. Dann sollte protokolliert werden.
Die Frage ist halt was du eingerichtet hast und welche regeln wie behandelt werden.

Womit testest du?
Bitte warten ..
Mitglied: mrserious73
13.09.2019 um 15:32 Uhr
Leite meinen lokalen http/s-Traffic über die Kiste.
Ohne Suppress-List sollte auch das schon ein paar Standard-Fehler liefern, ich rufe einfach beliebig normale Websites auf.

Auf Seiten Snorts sind wie gesagt alle herunterladbaren Regeln aktiviert.
Bitte warten ..
Mitglied: aqui
15.09.2019 um 15:48 Uhr
ich rufe einfach beliebig normale Websites auf.
Das ist ja auch beliebiger, normaler Traffic. Was sollte Snort denn auch da alarmieren wenn alles sauber ist ??
Bitte warten ..
Mitglied: mrserious73
15.09.2019 um 17:44 Uhr
Da hast du recht. Aber zumindest vor einigen Jahren war es so, dass bei eingeschalteten Regeln erstmal alles mögliche alerted wurde. Zu lange Strings auf irgendwelchen Websites usw.
Daher wundert mich, dass nun garnichts kommt.

Gibt es denn sowas wie das eicar-Testfile für Snort, also kann ich mein IPs irgendwie testen?
Nen Portscan mit nmap ginge, aber ansonsten?
Bitte warten ..
Mitglied: mrserious73
15.09.2019 um 22:26 Uhr
Edit: Habt ihr alternativ ein Tutorial für mich von dem ihr definitiv wisst, dass es so funktioniert?
Dann könnte ich anhand dessen mal prüfen, ob ich schlicht einen Schritt vergessen habe...
Bitte warten ..
Mitglied: Spirit-of-Eli
20.09.2019 um 21:25 Uhr
Ein richtiges tut dafür gibt es aktuell nicht bzw. Sind diese etwas veraltet.

Ich habe mir die infos dazu selbst zusammen suchen müssen. Wenn du genauer beschreibst wo Hilfe nötig ist, kann ich dich unterstützen.
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Firewall
Snort auf pfSense
Frage von mrserious73Firewall5 Kommentare

Hallo zusammen, ich verwende Snort in Verbindung mit pfSense. Bisher habe ich das sehr schlicht konfiguriert, es lauscht erstmal ...

Firewall
Snort FTP Rule
Frage von ReinartzFirewall1 Kommentar

Hallo Gemeinde, ich habe ein Problem mit einer Snort Regel. Ich möchte gern einen Alarm Eintrag erzeugen wenn ein ...

Firewall
PfSense: Snort-Logs und rsyslog
gelöst Frage von mrserious73Firewall4 Kommentare

Guten Morgen zusammen, ich verwende einige pfSense-Installationen und lasse deren Logs auch fleißig in einen zentralen syslog-Server schreiben. Leider ...

Neue Wissensbeiträge
LAN, WAN, Wireless
OPNsense Captive Portal mit vordefnierten Voucher
Tipp von Crusher79 vor 1 TagLAN, WAN, Wireless

Hallo, Ziel war es vorhandene Klienten-Daten (Nummer im System) und Kennwörter anzulegen. Voucher werden durch externes Programm in Papierform ...

Administrator.de Feedback
Entwicklertagebuch: Die nächste Version
Information von admtech vor 2 TagenAdministrator.de Feedback6 Kommentare

Hallo Administrator User, vielleicht haben es einige User schon mitbekommen: Wir arbeiten aktuell an einer komplett neuen Version von ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 6 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 6 TagenExchange Server5 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Heiß diskutierte Inhalte
Router & Routing
Anmeldung am Router von einer ext. IP?
Frage von BigSnakeyeRouter & Routing15 Kommentare

Hallo, ich habe gerade seltsames in meiner Fritzbox entdeckt. Plötzlich war die Verbindung unterbrochen - kein Internet. Also habe ...

Windows 10
Win 10 PC blockiert
Frage von tsunamiWindows 1013 Kommentare

Guten Morgen, ich habe ein komisches Problem: Windows 10 Pro PC startet normal. Internet ist für ca. 5 Sekunden ...

Hyper-V
Hyper-V geht die Verbindung zur VM auch ohne RDP?
Frage von DennisWeberHyper-V10 Kommentare

Hallo zusammen, ich habe mir auf meinem Heim-PC eine VM (Win 10) per Hyper-V eingerichtet. Alles auch soweit gut. ...

Batch & Shell
Symbolische links einer Ordnerstruktur
gelöst Frage von FollyxBatch & Shell10 Kommentare

ich möchte von einer Ordnerstruktur von jedem einzelnen Unterordner einen symbolischen Link erstellen lassen. wie kann ich das am ...