123788
Jan 27, 2016
2454
8
0
PfSense Snort (IPS) -Nur bestimmte Dienste überwachen
Hallo zusammen!
Also UTM betreibe ich ein Snort-System. An diesem hängt sowohl ein LAN, das hierüber einfach auf das Internet zugreift, als auch ein Web-Server in einer DMZ.
Dienste nach innen werden nicht freigegeben, lediglich 80/443 tcp können von außem angesprochen werden, um zum Server durchgeleitet zu werden.
Mein Problem: Ich möchte Snort als IPS betreiben, da ich es für sinnvoll halte, aber einfach den Internet-Zugang mit allen aktivierten Regeln zu überwachen ist keine Lösung, dann werden nämlich (trotz suppress-list) viele Webzugriffe aus dem LAN plötzlich blockiert, z.B. Treiber-Downloads.
Ist es möglich, nur die eingehenden Anfragen (und ausgehenden Antworten) auf den Ports 80 und 443 zu überwachen?
Welche Regeln muss ich hierfür aktivieren (ausgehend davon, dass ich alle anderen deaktiviere).
Viele Grüße!
Also UTM betreibe ich ein Snort-System. An diesem hängt sowohl ein LAN, das hierüber einfach auf das Internet zugreift, als auch ein Web-Server in einer DMZ.
Dienste nach innen werden nicht freigegeben, lediglich 80/443 tcp können von außem angesprochen werden, um zum Server durchgeleitet zu werden.
Mein Problem: Ich möchte Snort als IPS betreiben, da ich es für sinnvoll halte, aber einfach den Internet-Zugang mit allen aktivierten Regeln zu überwachen ist keine Lösung, dann werden nämlich (trotz suppress-list) viele Webzugriffe aus dem LAN plötzlich blockiert, z.B. Treiber-Downloads.
Ist es möglich, nur die eingehenden Anfragen (und ausgehenden Antworten) auf den Ports 80 und 443 zu überwachen?
Welche Regeln muss ich hierfür aktivieren (ausgehend davon, dass ich alle anderen deaktiviere).
Viele Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 294378
Url: https://administrator.de/contentid/294378
Printed on: April 16, 2024 at 19:04 o'clock
8 Comments
Latest comment
Hallo,
wenn du eine PfSense verwendest wie im Titel beschrieben (keine Ahnung was SNORT bedeutet), dann gehst du auf Firewall -> Rules -> WAN
Source: WAN, Destination: LAN (bzw DMZ), Protocol: ipv4, Port: 80,443
Wenn du alles andere blockiert hast, dann werden nur Zugriffe auf den beiden Ports übers Internet ins interne Netz zugelassen.
Gruß
wenn du eine PfSense verwendest wie im Titel beschrieben (keine Ahnung was SNORT bedeutet), dann gehst du auf Firewall -> Rules -> WAN
Source: WAN, Destination: LAN (bzw DMZ), Protocol: ipv4, Port: 80,443
Wenn du alles andere blockiert hast, dann werden nur Zugriffe auf den beiden Ports übers Internet ins interne Netz zugelassen.
Gruß
Ich möchte Snort als IPS betreiben, da ich es für sinnvoll halte,
Das ist es auch !Frage: Wie führst du dem Snort die Daten zu ? Arbeitet das selber als aktive Probe an einem Mirror Port des Switches oder schickst du die Daten per sFlow oder NetFlow vom Switch oder Router ?
Oder ist das eine Package Erweiterung auf der pfSense. Die Schilderung ist da etwas diffus ?
@michi1983: Ich fürchte, du hast das missverstanden. Es geht nicht um eine Firewall-Konfiguration, sondern um das Einrichten eines Intrusion-Prevention-Systems.
@aqui: Das ist eine Package-Erweiterung auf pfSense, die einfach auf beliebigen Netzwerkkarten des Geräts lauscht.
@aqui: Das ist eine Package-Erweiterung auf pfSense, die einfach auf beliebigen Netzwerkkarten des Geräts lauscht.
*push, push*
*push, push*
Bahnhof ??? 
das soll einfach nur verdeutlichen, dass ich den Thread nochmal aus der Versenkung heben möchte, weil es bisher noch keine Antwort auf meine Frage gab.
Hallo nochmal,
Wo soll Snort denn nun eigentlich lauschen? Am WAN oder DMZ Interface der pfSense?
Und ist dort auch ein Squid installiert damit die Server keinen direkten Kontakt zum Internet haben?
Wenn sich das hier aber erledigt hat, Dann bitte noch ein Beitrag ist erledigt dahinter danke!
Gruß
Dobby
Wo soll Snort denn nun eigentlich lauschen? Am WAN oder DMZ Interface der pfSense?
Und ist dort auch ein Squid installiert damit die Server keinen direkten Kontakt zum Internet haben?
Wenn sich das hier aber erledigt hat, Dann bitte noch ein Beitrag ist erledigt dahinter danke!
Gruß
Dobby
