123788
Goto Top

Snort auf pfSense

Hallo zusammen,

ich verwende Snort in Verbindung mit pfSense.
Bisher habe ich das sehr schlicht konfiguriert, es lauscht erstmal auf dem Internet-Interface, greift aber nicht als IPS ein.
Auch eine kleine Suppression-List pflege ich schon.
Mein Problem: Wie kann ich mich weiter mit dem Thema befassen?
Ich möchte die einzelnen Regeln besser verstehen und mich damit beschäftigen, welche davon für mein Einsatzgebiet überhaupt sinnvoll sind.
Habt ihr (allgemeine) Tipps für mich?

Grüße,
mrserious73

Content-Key: 303152

Url: https://administrator.de/contentid/303152

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: 108012
108012 28.04.2016 um 19:40:21 Uhr
Goto Top
Hallo,

Snort ist keine Set "up and forget it" Angelegenheit, man kann die Regeln anpassen und erweitern
und wirklich Maßgeschneidert auf das eigene Netzwerk anpassen. Es ist aber auch immer so eine
Sache wer, wann, was und wo überwacht. Normalerweise gibt es immer zwei Lager und die einen
befürworten den Einsatz auf der Firewall oder dem Router und die anderen setzen auf eine Sensor
& Server Lösung die an verschiedenen Stellen im Netzwerk nach Unregelmäßigkeiten schaut.

Es gibt dazu Bücher die man sich bestellen kann, aber vorher würde ich erst einmal an andere Sachen
denken bzw. damit anfangen. Je nach Wissensstand und Kenntnissen macht das aber auch wieder jeder
mit sich selber ab.

- Snorteinführung als Kindle Book aber nur für ~5 € (deutsch)
- IDS Buch für ~10 € für Einsteiger das Buch überhaupt (deutsch)
- Snort konfigurieren und tunen ~35 € (englisch)

Gruß
Dobby
Mitglied: the-buccaneer
the-buccaneer 30.04.2016 um 04:43:58 Uhr
Goto Top
Danke Dobby, hatte heute abend witzigerweise selber nach Snort Handbüchern gesucht und mir mal das offizielle Snort Handbuch angeschaut face-wink
https://www.snort.org/documents/1

Die Snort Einrichtung auf der PfSense bildet das aber nach erstem Eindruck überhaupt nicht ab, da es Kommandozeilenorientiert die Kontrolle der Parameter erklärt. Das brauchen die Package-Coder.

Ich habe mich damals aber an den Ergebnissen einer Google Suche zu PfSense und Snort orientiert und mich dann über ein paar Wochen abgearbeitet.

So bin ich zu einer Konfiguration gekommen, die mir und meinen Kunden als IPS dient.

Was ich benutzt habe, finde ich auf Anhieb nicht mehr, das Tutorial auf Spiceworks erscheint mir aber ganz gut: https://community.spiceworks.com/how_to/126207-set-up-snort-on-pfsense-f ...

Prinzpiell bin ich so vorgegangen:
Snort einrichten (WAN oder LAN oder beides, das ist ein interessantes Thema), VRT Rules aktivieren (evtl. noch EmergingThreats) und dann mal "legitim" Surfen und alles, was man im Netzwerk benötigt aufrufen. Alles, was Snort dann fälschlicherweise sperrt, (schlicht programmierte grosse Webseiten)(leider) deaktivieren. (http_inspect ist da z.B. sehr kritisch) ("Suppress" geht auch, ist aber ziemlich CPU-lastig.)
Damit ist man sehr schnell auf einem Ruleset, das einen guten Basisschutz bietet.

Leider ist der gute @aqui nicht so auf Packages, sonst gäbe es hier ein Tutorial. face-wink

LG
Buc
Mitglied: 108012
108012 30.04.2016 um 08:39:54 Uhr
Goto Top
Hallo,

das eine ist es wie Snort arbeitet und was er warum macht und das andere ist es
dann die Regeln fein zu "tunen" und zu dem Preis sind die Bücher alle gut zu empfehlen.
Denn hier geht es zuerst um Snort auf pfSense nur wenn man das nachher im Betrieb nutzen will
wir schnell ein Sensor / Server System draus (in der Regel) und das IDS Buch was einem die einzelnen
TCP Packete und IP Header erklärt, das kann man dann für Snort, WireShark und fast alles andere in dem
Bereich "Netzwerke" benutzen. Klar wenn man das zusammen mit oder auf einer pfSense betreibt kann man
auch die pfSense DOC Seiten dazu benutzen gar keine Frage.

Leider ist der gute @aqui nicht so auf Packages, sonst gäbe es hier ein Tutorial.
Naja ganz so kann ich mir das ja auch nicht vorstellen, denn der @aqui rät ja auch ab und zu,
zu Squid & SquidGuard, SARG, Apinger, pfBlockerNG, Suricata & Snort oder gar ClamAV & Icar.
Da wird er sich damit wohl auch auskennen. Ich denke ich würde an Seiner Stelle schon lange
ein pfSense Buch auf deutscher Sprache geschrieben haben ebenso wie für MikroTik RouterOS
die würde weg gehen wie warme Semmel. Ist ebenso mit dem IDS Buch das kam einmal raus
und erschien vor kurzem in der dritten Auflage!!! Damit hast Du dann für immer ausgesorgt im Leben.

Es verhält sich wie mit Squid, hier ist ein gutes Buch dazu, lässt man Squid aber auf der pfSense laufen und
das auch noch im transparenten Modus, kann man auf der Webseite einfach unten weiter lesen und hat ein
paar gute Tuning Tipps gratis dazu!!!! Squid performance fine tuning

Gruß
Dobby
Mitglied: the-buccaneer
the-buccaneer 10.05.2016 um 01:27:05 Uhr
Goto Top
Ist der TO noch da???
Mitglied: 123788
123788 12.05.2016 aktualisiert um 10:32:03 Uhr
Goto Top
Ist er!
Entschuldigt bitte, hatte die letzten Tage einiges um die Ohren.

Vielen Dank erstmal für die diversen Links, da hab ich ja was zu lesen face-smile

Momentan betreibe ich vor allem ein pfSense, das vor einem Webserver hängt (also nur Ports 80, 443 TCP nach außen verfügbar).
Und das Wichtigste ist erstmal, das zu schützen.
Portscans usw. müssen nicht blockiert werden, die finden ja ohnehin nichts.

Sehe ich das richtig, dass ich dafür quasi nur ein Paket aktivieren muss? Nämlich "snort_server-apache.rules"
Und alles andere erstmal ignorieren kann?

Edit: Ich lasse Snort jetzt auf dem Internet-Interface lauschen. Muss ich stattdessen das Interface nehmen, an dem der Server hängt? (quasi das LAN-Interface), oder sogar beide?