PfSense Snort (IPS) -Nur bestimmte Dienste überwachen

Mitglied: mrserious73

mrserious73 (Level 1) - Jetzt verbinden

27.01.2016 um 14:55 Uhr, 1381 Aufrufe, 8 Kommentare

Hallo zusammen!

Also UTM betreibe ich ein Snort-System. An diesem hängt sowohl ein LAN, das hierüber einfach auf das Internet zugreift, als auch ein Web-Server in einer DMZ.
Dienste nach innen werden nicht freigegeben, lediglich 80/443 tcp können von außem angesprochen werden, um zum Server durchgeleitet zu werden.

Mein Problem: Ich möchte Snort als IPS betreiben, da ich es für sinnvoll halte, aber einfach den Internet-Zugang mit allen aktivierten Regeln zu überwachen ist keine Lösung, dann werden nämlich (trotz suppress-list) viele Webzugriffe aus dem LAN plötzlich blockiert, z.B. Treiber-Downloads.
Ist es möglich, nur die eingehenden Anfragen (und ausgehenden Antworten) auf den Ports 80 und 443 zu überwachen?
Welche Regeln muss ich hierfür aktivieren (ausgehend davon, dass ich alle anderen deaktiviere).

Viele Grüße!
Mitglied: michi1983
27.01.2016 um 18:04 Uhr
Hallo,

wenn du eine PfSense verwendest wie im Titel beschrieben (keine Ahnung was SNORT bedeutet), dann gehst du auf Firewall -> Rules -> WAN
Source: WAN, Destination: LAN (bzw DMZ), Protocol: ipv4, Port: 80,443

Wenn du alles andere blockiert hast, dann werden nur Zugriffe auf den beiden Ports übers Internet ins interne Netz zugelassen.

Gruß
Bitte warten ..
Mitglied: aqui
27.01.2016, aktualisiert um 18:47 Uhr
Ich möchte Snort als IPS betreiben, da ich es für sinnvoll halte,
Das ist es auch !
Frage: Wie führst du dem Snort die Daten zu ? Arbeitet das selber als aktive Probe an einem Mirror Port des Switches oder schickst du die Daten per sFlow oder NetFlow vom Switch oder Router ?
Oder ist das eine Package Erweiterung auf der pfSense. Die Schilderung ist da etwas diffus ?
Bitte warten ..
Mitglied: mrserious73
27.01.2016 um 23:45 Uhr
@michi1983: Ich fürchte, du hast das missverstanden. Es geht nicht um eine Firewall-Konfiguration, sondern um das Einrichten eines Intrusion-Prevention-Systems.

@aqui: Das ist eine Package-Erweiterung auf pfSense, die einfach auf beliebigen Netzwerkkarten des Geräts lauscht.
Bitte warten ..
Mitglied: mrserious73
07.02.2016 um 13:14 Uhr
*push, push*
Bitte warten ..
Mitglied: aqui
07.02.2016 um 15:23 Uhr
*push, push*
Bahnhof ??? :-( face-sad
Bitte warten ..
Mitglied: mrserious73
07.02.2016 um 21:29 Uhr
:-D face-big-smile das soll einfach nur verdeutlichen, dass ich den Thread nochmal aus der Versenkung heben möchte, weil es bisher noch keine Antwort auf meine Frage gab.
Bitte warten ..
Mitglied: Dobby
LÖSUNG 28.04.2016 um 19:45 Uhr
Hallo nochmal,

Wo soll Snort denn nun eigentlich lauschen? Am WAN oder DMZ Interface der pfSense?
Und ist dort auch ein Squid installiert damit die Server keinen direkten Kontakt zum Internet haben?

Wenn sich das hier aber erledigt hat, Dann bitte noch ein Beitrag ist erledigt dahinter danke!

Gruß
Dobby

Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Verpackter Laptop entwendet
r0x3llVor 1 TagFrageSicherheit11 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...

Off Topic
Namenskonzept Kundengeräte
bitnarratorVor 1 TagFrageOff Topic5 Kommentare

Hallo, ich möchte gerne einmal die Diskussion anstoßen, weil ich eine hier in diese Richtung noch nichts gefunden habe. Es geht um die Bennenung ...

Netzwerkgrundlagen
Router für neues Heimnetzwerk - was will man 2021 haben?
billy01Vor 1 TagFrageNetzwerkgrundlagen7 Kommentare

Guten Abend zusammen, nachdem sich bei mir viel getan hat, stehe ich nun vor einem Umzug und dem Neuaufbau meines Heimnetzwerkes. Also weg von ...

Windows Server
Kein Internetzugriff bei einem Domänenclient
KerberoVor 1 TagFrageWindows Server15 Kommentare

Hallo community, ich habe ein ganz komisches Verhalten eines Clients bei mir. Ich habe eine kleine Domäne (6 Clients und ein Windows Server 2016 ...

LAN, WAN, Wireless
2x Fritzbox 7590 mit separatem DSL über WAN verbinden
gelöst FailixVor 22 StundenFrageLAN, WAN, Wireless19 Kommentare

Liebes Administrator Forum, Ich bin schon länger passiver Lese und habe mich jetzt entschlossen mit einer Frage den ersten Post hier zu schreiben. Über ...

Off Topic
Wie sieht eine korrekte IT-Organisation aus?
imebroVor 4 StundenFrageOff Topic17 Kommentare

Hallo, da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss. Zur ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 19 StundenFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

DNS
Network Scanner zeigt falschen Hostname an
gelöst vafk18Vor 21 StundenFrageDNS10 Kommentare

Ich habe in meinem Netzwerk 3 Fritzboxen im Betrieb. Die Fritzboxen haben in den Einstellungen als Namen "fb7270", "fb7369" und "fb7412". Jede Fritzbox hat ...