Blocken von Angriffsversuchen funktioniert nicht

defreng · March 21, 2010 at 12:11 AM

Hallo zusammen,

ich bin heute von IPCop auf die Endian Community Version 2.3 umgestiegen und habe mich besonders über die Funktion des Blockens von Angriffsversuchen die Snort erkennt gefreut... Nur leider funktioniert das nicht so ganz: "ET POLICY Proxy GET Request" ist mit dem roten Schild aktiviert, aber die Firewall lässt die Verbindungen trotzdem durch:

PORTFWACCESS:ALLOW:1 TCP (ppp0) xxx:33023 -> 10.1.0.1:80 (br0)
snort[5297]: [1:2001669:7] ET POLICY Proxy GET Request [Classification: Potentially Bad Traffic] [Priority: 2]: {TCP} xxx:33023 -> 10.1.0.1:80

komischerweise auch bevor Snort etwas erkennt... Ich bekomme allerdings nicht immer eine Antwort auf den bösen Request. Hat jemand eine Idee was da schief läuft?

Sabine · March 21, 2010 at 9:54 AM Official Post

Hallo defreng,
Snort ist eine Wissenschaft für sich, was da genau passiert ist immer schwer zusagen. Die Meldung deutet auf ein defektes Netbios Paket hin.
Es kann sein das Snort das gefiltert hat und hat den Rest durchgelassen. Ob das ein Angriff war oder nur ein zufälliges defektes Paket kann man da nur schwer sagen.
Zu erwähnen wäre noch das die Version 2.3 voller Bugs ist und man besser die 2.2 nimmt.

Gruß Sabine

defreng · March 21, 2010 at 10:59 AM

wobei ja leider 2.2 diese Funktion überhaupt nicht hat, oder?

Sabine · March 21, 2010 at 11:06 AM Official Post

Hallo,
da muss ich erstmal auf die 2.3 drauf schauen wie das da aussieht, ich habe da nur eine zum testen mal laufen.
Werde mich gleich mal in der Firma einloggen und nachsehen.

Gruß Sabine

Sabine · March 21, 2010 at 11:29 AM Official Post

Hallo,
ich sehe leider nicht was du meinst, da sind jetzt zwei neue Reiter, ein Editor und Regeln. Sonst sehe ich da keine Einstellungen.

Gruß Sabine

defreng · March 21, 2010 at 11:30 AM

man kann jetzt bei den Regeln auf dieses gelbe Warndreieck klicken, was sich dann in ein rotes Schild verwandelt Laut Dokumentation soll jetzt nicht nur geloggt, sondern auch geblockt werden

Sabine · March 21, 2010 at 12:34 PM Official Post

Leider lädt mir die 2.3 anscheinende die regeln nicht rein. Aber ich weiß was du meinst, so was gibt es in der 2.2 nicht.
Das kann mal wieder einer der vielen Bugs sein, siehe mal in den Bug Tracker:

http://bugs.endian.com/view_all_bug_page.php

Achtung ! Das ist nicht nur die Seite 1 sonder noch 10 Seiten.

Gruß Sabine

Sabine · March 21, 2010 at 12:59 PM Official Post

Noch ein paar Bugs zum suchen:

http://bugs.endian.com/roadmap_page.php

Snort Fehler:

0002350: [Other Scripts] Snort rules editor can´t set custom rules to drop
0002464: [Firewall (iptables)] Snort blocks smb and netbios over VPN despite FW rule

Gruß Sabine

defreng · March 21, 2010 at 1:14 PM

aah der erste wirds sein! Danke für den Hinweis - dann mach ich das einfach manuell

Sabine · March 21, 2010 at 1:16 PM Official Post

Wir warten alle auf das Update, aber das kann dauern und dauern und dauern.

Gruß Sabine

Sabine · March 22, 2010 at 12:57 PM Official Post

Jetzt weis ich was du meinst, wenn das dann mal Funktioniert könnte es richtig Interessant werden.
Ich denke nur das die Prozessorlast sehr hoch ausfallen wird.

Gruß Sabine

defreng · March 22, 2010 at 1:04 PM

jops, genau das dachte ich auch

aender · March 22, 2010 at 1:34 PM

Also auf meiner 2.3 Enterprise mit den aktuellsten Updates funktioniert das einwandfrei.

Und die Last ist so gut wie nicht vorhanden.

Übrigens funktioniert seit den über 30 Updates ende letzter Woche sehr vieles so wie es sollte. Auch die CPU Auslastung diverser Dienste ist stark gesunken.

ffischer · March 22, 2010 at 2:33 PM Official Post

Hallo,
für die 2.3?
Hm vielleicht sollte ich dann mal die 2.2 Enterpr. durch die 2.3 Enterpr. ersetzen.
Gute oder schlechte Idee aender ?

aender · March 22, 2010 at 2:51 PM

Wie gesagt ist seit letzter Woche auch die 2.3 Enterprise brauchbar
Zwar gibt es noch ein paar Kleinigkeiten die noch nicht so rund laufen, aber wenn man die kennt klappt alles.

ffischer · March 22, 2010 at 2:59 PM Official Post

Was sind den das für "Kleinigkeiten " ?

aender · March 22, 2010 at 3:04 PM

http://bugs.endian.com/view.php?id=2784
http://bugs.endian.com/view.php?id=2778
http://bugs.endian.com/view.php?id=2681
http://bugs.endian.com/view.php?id=2326

Um nur einige zu nennen. Den Rest findest du unter:
http://bugs.endian.com/roadmap_page.php

ffischer · March 22, 2010 at 3:09 PM Official Post

hm na gut mal überlegen ob ich es wage oder nicht
danke für die Hinweise

Sabine · March 22, 2010 at 7:34 PM Official Post

Hallo defreng,
hast du alle Regeln aktiviert ?
Ich habe ja schon auf der 2.2 die doppeltet Prozessorlast mit Snort !
Ich kann mir vorstellen das in der Community auch eine sagen wir mal abgespeckte Version von Snort läuft und in der Enterprise das doch etwas besser gelöst ist.

Gruß Sabine

aender · March 22, 2010 at 7:52 PM

Quote

Ich kann mir vorstellen das in der Community auch eine sagen wir mal abgespeckte Version von Snort läuft und in der Enterprise das doch etwas besser gelöst ist.

Da muss ich dir widersprechen. Das ist definitiv nicht so.