Blocken von Angriffsversuchen funktioniert nicht

defreng

Hallo zusammen,

ich bin heute von IPCop auf die Endian Community Version 2.3 umgestiegen und habe mich besonders über die Funktion des Blockens von Angriffsversuchen die Snort erkennt gefreut... Nur leider funktioniert das nicht so ganz: "ET POLICY Proxy GET Request" ist mit dem roten Schild aktiviert, aber die Firewall lässt die Verbindungen trotzdem durch:

PORTFWACCESS:ALLOW:1 TCP (ppp0) xxx:33023 -> 10.1.0.1:80 (br0)
snort[5297]: [1:2001669:7] ET POLICY Proxy GET Request [Classification: Potentially Bad Traffic] [Priority: 2]: {TCP} xxx:33023 -> 10.1.0.1:80

komischerweise auch bevor Snort etwas erkennt... Ich bekomme allerdings nicht immer eine Antwort auf den bösen Request. Hat jemand eine Idee was da schief läuft?

Sabine

Hallo defreng,
Snort ist eine Wissenschaft für sich, was da genau passiert ist immer schwer zusagen. Die Meldung deutet auf ein defektes Netbios Paket hin.
Es kann sein das Snort das gefiltert hat und hat den Rest durchgelassen. Ob das ein Angriff war oder nur ein zufälliges defektes Paket kann man da nur schwer sagen.
Zu erwähnen wäre noch das die Version 2.3 voller Bugs ist und man besser die 2.2 nimmt.

Gruß Sabine

defreng

wobei ja leider 2.2 diese Funktion überhaupt nicht hat, oder?

Sabine

Hallo,
da muss ich erstmal auf die 2.3 drauf schauen wie das da aussieht, ich habe da nur eine zum testen mal laufen.
Werde mich gleich mal in der Firma einloggen und nachsehen.

Gruß Sabine

Sabine

Hallo,
ich sehe leider nicht was du meinst, da sind jetzt zwei neue Reiter, ein Editor und Regeln. Sonst sehe ich da keine Einstellungen.

Gruß Sabine

defreng

man kann jetzt bei den Regeln auf dieses gelbe Warndreieck klicken, was sich dann in ein rotes Schild verwandelt Laut Dokumentation soll jetzt nicht nur geloggt, sondern auch geblockt werden

Sabine

Leider lädt mir die 2.3 anscheinende die regeln nicht rein. Aber ich weiß was du meinst, so was gibt es in der 2.2 nicht.
Das kann mal wieder einer der vielen Bugs sein, siehe mal in den Bug Tracker:

http://bugs.endian.com/view_all_bug_page.php

Achtung ! Das ist nicht nur die Seite 1 sonder noch 10 Seiten.

Gruß Sabine

Sabine

Noch ein paar Bugs zum suchen:

http://bugs.endian.com/roadmap_page.php

Snort Fehler:

0002350: [Other Scripts] Snort rules editor can´t set custom rules to drop
0002464: [Firewall (iptables)] Snort blocks smb and netbios over VPN despite FW rule

Gruß Sabine

defreng

aah der erste wirds sein! Danke für den Hinweis - dann mach ich das einfach manuell

Sabine

Wir warten alle auf das Update, aber das kann dauern und dauern und dauern.

Gruß Sabine

Sabine

Jetzt weis ich was du meinst, wenn das dann mal Funktioniert könnte es richtig Interessant werden.
Ich denke nur das die Prozessorlast sehr hoch ausfallen wird.

Gruß Sabine

defreng

jops, genau das dachte ich auch

aender

Also auf meiner 2.3 Enterprise mit den aktuellsten Updates funktioniert das einwandfrei.

Und die Last ist so gut wie nicht vorhanden.

Übrigens funktioniert seit den über 30 Updates ende letzter Woche sehr vieles so wie es sollte. Auch die CPU Auslastung diverser Dienste ist stark gesunken.

ffischer

Hallo,
für die 2.3?
Hm vielleicht sollte ich dann mal die 2.2 Enterpr. durch die 2.3 Enterpr. ersetzen.
Gute oder schlechte Idee aender ?

aender

Wie gesagt ist seit letzter Woche auch die 2.3 Enterprise brauchbar
Zwar gibt es noch ein paar Kleinigkeiten die noch nicht so rund laufen, aber wenn man die kennt klappt alles.

ffischer

Was sind den das für "Kleinigkeiten " ?

aender

http://bugs.endian.com/view.php?id=2784
http://bugs.endian.com/view.php?id=2778
http://bugs.endian.com/view.php?id=2681
http://bugs.endian.com/view.php?id=2326

Um nur einige zu nennen. Den Rest findest du unter:
http://bugs.endian.com/roadmap_page.php

ffischer

hm na gut mal überlegen ob ich es wage oder nicht
danke für die Hinweise

Sabine

Hallo defreng,
hast du alle Regeln aktiviert ?
Ich habe ja schon auf der 2.2 die doppeltet Prozessorlast mit Snort !
Ich kann mir vorstellen das in der Community auch eine sagen wir mal abgespeckte Version von Snort läuft und in der Enterprise das doch etwas besser gelöst ist.

Gruß Sabine

aender

Zitat

Ich kann mir vorstellen das in der Community auch eine sagen wir mal abgespeckte Version von Snort läuft und in der Enterprise das doch etwas besser gelöst ist.

Da muss ich dir widersprechen. Das ist definitiv nicht so.

Benutzer online in diesem Thema