• Bahattin Arıcı
  • 0 views
  • 29 Temmuz 2009
  • 3
  •  

pfSense snort alert göstermiyorsa!

Tüm ayarlarınızı yaptınız. Fakat snort hala uyarı vermiyor. pfSense üzerinden Status > Services üzerinden çalışan servislere bakıyorsunuz orada da problem yok.

pfsense-snort-alert-gostermiyorsa-02

Services kısmında snort çalışıyor  gözüküyor. Fakat uyarılar hala yok.

pfsense-snort-alert-gostermiyorsa-03

Öncelikle pfSense kurduğumuz makine üzerinden 8. seçenek ile Shell çalıştırıp komut satırına geçiyoruz. snort yazıp enter tuşuna bastığımızda aşağıdaki gibi bir uyarı alıyorsak;

ERROR: Dynamic detection lib /usr/local/lib/snort/dynamicrules//lib_sfdynamic_example_rule.so 1.0 isn’t compatible with the current dynamic engine library /usr/local/lib/snort/dynamicengine/libsf_engine.so 1.10.
The dynamic detection lib is compiled with an older version of the dynamic engine.
Fatal Error, Quitting..

pfsense-snort-alert-gostermiyorsa-01

rm /usr/local/lib/snort/dynamicrules/lib_sfdynamic_example_rule.so

komutunu uyguluyoruz. Bu komut lib_sfdynamic_example_rule.so dosyasını silmektedir. Tekrar snort komutunu tekrarladığımızda

pfsense-snort-alert-gostermiyorsa-04

bu şekilde uyarı çıkıyorsa problem artık kalmamıştır.

pfsense-snort-alert-gostermiyorsa-05

pfsense-snort-alert-gostermiyorsa-06

Artık uyarı ve engellemelerimizi yapıyor.

Afiyet olsun :o)

Yazar: Bahattin Arıcı #administrator

1979 doğumluyum. Ortaokuldan beri bilgisayarla uğraşıyorum. Grafik, sunucu, donanım, overclock, pc modifikasyon, linux, network, web tasarım, programlama, bilgisayar formatlama :o) gibi işleri severek özenerek bezenerek yaparım. Potansiyel müşterilerimin dikkatine...
Tüm Yazılarına Git

YORUM YAP


BU YAZIYA 3 YORUM YAPILMIŞ

    axmedov 01 Ağustos 2009 - 14:50

    Selamlar,
    Snort sorunsuz çalışıyor ve blocklama yapıyor.
    Sorun şu ki ; snort’da skype kuralını aktif ettikden sonra yerel ağdaki A makinası skype açmak istediğinde, skype ile birlikte tüm internet trafiğini blockluyor !..

    Oysa A makinasının sadece skype a girişi engellenmek isteniyorsa ne yapılmalı ?

    İyi Çalışmalar

    Bahattin Arıcı 01 Ağustos 2009 - 20:18

    Bana soracak olursanız ;
    snort’un asıl görevi sadece saldırı tespit ve engelleme.
    Dikkat ederseniz kontrol edilecek arayüzü seçerken lan veya wan diye seçiyorsunuz. şu şu ipleri seç, bunları bunları engelle diyemiyorsunuz. Snort diyorki : “ben şu bacaktan gelen senin izlememi istediğin her faaliyeti bulur, görür, içeriğine bakar, engellerim. eğer bu ipler kendilerini düzeltir, saldırı faaliyetlerini keserlerse ben zaten 60dk içinde kara listeden bunları çıkartırım.”

    bunun üzerine bizde eğer saldırı veya engellemek istediğimiz içeriği; örneğin skype:
    zaten bunu istek yapan ip, port, port numarası tamamını biliyoruz. bunları proxy filter tarafından engelleme yapmamız daha mantıklı olur. bu şekilde gruplandırabiliriz, saat sınırlaması koyabiliriz.

    yoksa ddos, attack, exploit veya nasıl saldırılar varsa bunlarla msn veya skype bir tutmanın zaten pek doğru olmadığı düşüncesindeyim.

    ozan 02 Ağustos 2009 - 00:06

    Merhaba,
    Tamamı ile yanlış düşüncedesiniz,
    1. Snort kural bazlı çalışan saldırı tespit sistemidir ? Saldırı engelleme sistemi olarak yapılandırmak için snort inline larına ihtiyaç vardır.
    2. Snort sana şunu diyor ; “Ben snort olarak gelen-giden trafiği inceleyerek benim, senin ve başkasının yazdığı her kuralı tespit eder ve uyarı veririm”.
    Yani sen skype için bir imza yazdığında gelen-giden trafiği dinleyip bu imzaya uyan paketler için mesaj üretirim.
    3. Skype 443. porttan çalışır ve şifreli trafik üretir, bağlantı kurduğu ip aralığı ise cabası. Skype ı engellemek için Squid Proxy Filter yetersiz kalıyor. Bakınız squid (http://wiki.squid-cache.org/ConfigExamples/Chat/Skype) en başına “çalışmasının garantisi” yoktur notu eklenmiş 🙂
    4- Yukarıdaki soruya gelince, snort’u herhangi bir unix tüveri veya windows sistemi alıntına kurup test ediniz istediğiniz olayı sorunsuz yapıyor, pfsense’de bu sadece istenilen kurala ait trafiği engellemek için kural ile biraz oynama yapmak gerekiyor (istemci ve sunucu tarafına rst paketleri gönderip, bağlantıyı sonlandırmak gibi gibi).Snortun pfsense ile gelen inline özelliğini bende henüz test ediyorum.

    http://www.net-security.org/dl/articles/Blocking_Skype.pdf

    Saygılarımla.