Firewall references aide

Résolu/Fermé
Noel-barbu Messages postés 258 Date d'inscription mercredi 5 septembre 2012 Statut Membre Dernière intervention 16 janvier 2018 - Modifié par Noel-barbu le 4/09/2016 à 09:23
mamiemando Messages postés 33401 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2024 - 7 nov. 2016 à 21:11
Bonjour A tous les linuxiens et tous les modérateurs de CCM !

Voilà je vous adresse ce message car j'ai installé snort sur ma machine le problème et le suivant :

celui-ci me donne des numéros de référence pour différents types d'attaque ou de scan suspect des numéros qui correspond a une règle de sécurité .

J'aimerais savoir ou trouver un site pour vérifier justement ces références pour regarder à quoi elle correspond voici un exemple

Date: 09/04 08:49:13 Nom: ET DROP Dshield Block Listed Source group 1
Priorité: 2 type: Misc Attack
Info IP: 208.100.26.228:51661 -> 192.168.1.80:15672
Références: http://feed.dshield.org/block.txt
SID: 2402000


Mon objectif par la suite est de coder un petit site en PHP qui va répertorier toute ces références et donner leur descriptif détaillées en français, mais pour ça il me faudrait déjà un site qui dise tout cela en anglais.


Merci d'avance de votre aide.

7 réponses

mamiemando Messages postés 33401 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2024 7 804
4 sept. 2016 à 12:05
Bonjour,

Je ne sais pas si c'est ce que tu cherches, mais essayons toujours :
https://dshield.org/api/
https://www.dshield.org/ipinfo.html?ip=208.100.26.228

Bonne chance
0
Noel-barbu Messages postés 258 Date d'inscription mercredi 5 septembre 2012 Statut Membre Dernière intervention 16 janvier 2018 2
4 sept. 2016 à 12:09
Merci Mamie Mando

Mais Je cherche plus des informations sur la référence de l'attaque SID: 2402000

Pas sur les ip a proprement parler.
0
« Mais Je cherche plus des informations sur la référence de l'attaque SID: 2402000 »


Y a pas d’attaques SID machin truc, y a des attaques réseau avec un certain type de flux à connaître, va faire un tour chez Nmap avant des faire des « références » sur Snort, faut commencer par le commencement.
0
Noel-barbu Messages postés 258 Date d'inscription mercredi 5 septembre 2012 Statut Membre Dernière intervention 16 janvier 2018 2
Modifié par Noel-barbu le 4/09/2016 à 17:04
Comme stipuler ci-dessus

Date: 09/04 08:49:13 Nom: ET DROP Dshield Block Listed Source group 1
Priorité: 2 type: Misc Attack
Info IP: 208.100.26.228:51661 -> 192.168.1.80:15672
Références: http://feed.dshield.org/block.txt
SID: 2402000


ça montre un flux qui a été bloquer provenant de L'IP 208.100.26.228, snort voie ça comme une attaque ou un scan suspect, peu importe ce n'est pas cela qui m'intéresse, si vous regarder bien il met une référence qui est forcément liée à snort http://feed.dshield.org/block.txt identifier dans les rules avec le numéro 2402000.

Comme je les dis plus haut les informations lier à L'IP ne m’intéresse pas, je s ce n'est pas si vous avez eu snort entre les mains et regarder vos logs, mais ça m'étonnerait, car vous serriez comme moi à vous demander ce que cela signifie cette référence qui ne correspond pas grand chose dans l'imédiat.
0
mamiemando Messages postés 33401 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2024 7 804
4 sept. 2016 à 17:02
@Bill: un SID est un identifiant snort pour un certain motif d'attaque.
http://www.ipcop.org/1-4-0/en/admin/html/logs.html

J'imagine que Noel-Barbu cherche le pattern correspondant.

Pour trouver des informations sur une règle :
https://www.snort.org/rule-docs/

Mais ce SID ne semble pas documenté :
https://www.snort.org/rule-docs/2402000/missing_documentation

Peut-être en regardant dans la configuration ou le code de snort tu pourras trouver des informations.

Bonne chance
0
Noel-barbu Messages postés 258 Date d'inscription mercredi 5 septembre 2012 Statut Membre Dernière intervention 16 janvier 2018 2
Modifié par Noel-barbu le 4/09/2016 à 17:20
C'est exactement ça MamieMando c'est pour ça que je sollicite votre aide mon objectif est de coder un petit site en Php qui va référencer toutes ces références et dire à quoi cela correspond chaque SID, vus que le site snort apparemment n'a plus ça base de données sur les SID ou que c'est en anglais et bien je voudrais faire une traduction pour tout ça.

Et je suis sur que plein de personne qui on des firewall linux/unix comme ipcop ou autre avec ces historie de logs veule savoir ce qui se passe et a quoi correspond ce logue un autre exemple de logs :

Date: 09/04 14:12:23 Nom: ET SCAN Sipvicious User-Agent Detected (friendly-scanner)
Priorité: 2 type: Attempted Information Leak
Info IP: 209.222.99.42:5095 -> 192.168.1.80:5060
Références: https://doc.emergingthreats.net/2011716
https://www.rtcsec.com/
https://github.com/EnableSecurity/sipvicious
SID: 2011716


Là on comprend bien tous! qu'il y a eu tentative de scan suspect mais ! quoi exactement, je ne sais pas si vous comprenez l'objectif justement de détaillée tout ça de façon plus claire et surtout l'utilité car, je mets justement aux défis des personnes qui on Ipcop de me retourner en détail les informations et de savoir exactement ce qu'il advient de ces logs avec snort, la plupart ne savent pas puisque c'est jute c'est très mal documenter ou alors, auront une vague idée de ce à quoi cela correspond.
0
mamiemando Messages postés 33401 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2024 7 804
4 sept. 2016 à 17:19
Le truc c'est que je ne sais pas où tu peux trouver cette information, donc à part chercher sur Internet (ce dont tu es capable) ou regarder le code source / la configuration de snort, je ne vois pas trop comment t'aider...
0
Noel-barbu Messages postés 258 Date d'inscription mercredi 5 septembre 2012 Statut Membre Dernière intervention 16 janvier 2018 2 > mamiemando Messages postés 33401 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2024
Modifié par Noel-barbu le 4/09/2016 à 17:34
Si les SID était déjà répertorié ça m'aiderait déjà beaucoup pour après élaborer quelque chose qui va définitivement référencer ces SID avec leur descriptifs.

Car comme tu le mentionnes il y a des SID qui ne sont pas référencés ce qui est dingue comme même, alors imagine que tu aies un firewall cisco où Ipcop et que tu ne sais pas à quoi correspond ce log voilà tous les objectifs.

Moi en tout qu'a ça me gonfle d'avoir des logs et que des SID ne ça mentionner null par pour savoir de quoi ça parle exactement.

Et je ne suis pas la seule dans le qu'a là, je ne suis sur que d'autres ont le même souci avec ces logs vraiment pas très clair pour certain.

Comme là MamiMando tape n'importe quel SID de ton firewall IPCOP ou autres sur le site que tu ma envoyez

https://www.snort.org/rule-docs/

Il ne va rien te sortir en descriptif aucune doc et valable pour tous les SID c'est pour ça qu'il est grand temps de faire quelque chose (communautaire pour ça)

Mais comme la tâche est ardue de référencer tout ça c'est pour ça que j'ai rédigé le message ici.
0
« Comme je les dis plus haut les informations lier à L'IP ne m’intéresse pas, je s ce n'est pas si vous avez eu snort entre les mains et regarder vos logs, »


J’ai déjà utilisé Snort en mode client pour voir la bête, ça ne sert à rien je sais mais ce n’est pas grave, si les logs Snort sont effectivement du charabia, Netfilter UFW ne l’est pas et relate les attaques avec précision, c’est de l’ICMP - UDP etc.

Comprendre une attaque ici :

https://nmap.org/man/fr/man-port-scanning-techniques.html


Je ne vois pas l’intérêt de stocker des références du type SID.
0
Noel-barbu Messages postés 258 Date d'inscription mercredi 5 septembre 2012 Statut Membre Dernière intervention 16 janvier 2018 2
4 sept. 2016 à 18:29
Ok pour faire cours juste comme ça à tu un firewall ? et si c'est le qu'a, quelle information te permet de connaitre exactement ce que signifient tes logs par ce que savoir lire UDP/TCP et utiliser Nmap pour comprendre les attaques et scan ok c’est bien mais concrètement les logs ne te donnent qu'un descriptif minimaliste .

et ça :
l’ICMP - UDP etc.


Ok chapeaux ta listé les protocoles et après? là tu me sors une information minimaliste au pire montre-moi STP un log détaillé d'une de tes règles voir si c'est si bien détaillé, car j'en suis sûr que tu regarde tes logs tu n'as qu'une vague idée car techniquement parlant il te faut plus que 2 protocoles j'espère que tu me comprends.

Si maintenant ton Netfilter UFW ne référencerait en aucun qu'à ce que signifient tes logs tu ne pourrais savoir ce que veulent dire les logs, Nmap pour le scan certes et très bien met pas suffisant en lui-même pour faire des attaques il faut une multitude d'outils avec pour enfin arriver à quelque chose, alors certes les informations minimalistes donnent des indications pour savoir à quoi cela correspond mais justement c'est le tout le problème pour moi ce n'est pas assez détaillé.

Alors montre-nous un de tes logs pour voir exactement si c'est plus détaillé.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Les attaques d’après Snort :

http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node31.html#SECTION00444000000000000000
3.4.6.2 Example

On n’est pas plus avancé, manque le principal : direction IP émettrice, de destination, protocole, drapeaux...
0
Noel-barbu Messages postés 258 Date d'inscription mercredi 5 septembre 2012 Statut Membre Dernière intervention 16 janvier 2018 2
Modifié par Noel-barbu le 4/09/2016 à 18:42
D'après ce que j'ai vu dans les codes source de snort celui-ci filtre les ports, suivant ces ports il les classe par catégories ce qui déclenche le descriptif minimaliste des logs, la catégorie en elle-même contient des numéros lier à un descriptif qui va se déclencher quand le rule sera lancer avec snort.

Et le plus troublant c'est que je ne voie aucune mention des NUMÉRO SID quelque part en fait j'ai regarder en long en large le code source grosso modo la catégorie regroupe un ensemble ports qui correspondent par exemple au mail, au SIP etc .

cette catégorie est liée à un numéro qui lieur même est lier un descriptif de cette catégorie mais voilà ce n'est tout rien d'autre, je me suis dit quand analysant les sources je verrais forcement leur base à donner SID mais que Nini.
0
mamiemando Messages postés 33401 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2024 7 804
5 sept. 2016 à 10:05
@Bill/Ball et autres variantes :

nmap est un outil qui sert à scanner une machine. Il est plus adaptée pour un attaquant, ou un défenseur qui se place du côté de l'attaquant. Il permet en outre de voir si le pare-feu mis en place va ou non bloquer certains scans/ports.

Pour autant, ça ne permet pas de comprendre chaque règle spécifiquement. En parlant de nmap, tu ne réponds pas à la question.

Le sujet de cette discussion est de comprendre qu'est ce qui a conduit chacune des règles présentes dans snort à apparaître. Elles sont probablement une réponse à des d'attaques bien connues.

Dans ma compréhension Noel barbu cherche à expliquer le pourquoi du comment. Certes, comprendre la structure d'un paquet et la syntaxe de snort est le premier point de départ pour comprendre ce qui est une règle, mais ce n'est pas pour autant que vas comprendre pourquoi elle a été mise en place et en quoi elle offre une réponse satisfaisante. L'idée ici est plus ici de comprendre à quelle attaque est dûe une règle, pourquoi cette règle permet effectivement de l'endiguer, c'est un peu plus profond que ça. C'est la raison pour laquelle certaines règles sont documentées, malheureusement celle qui est citée au début du fil de discussion ne l'est pas...

De toute façon clairement le point d'entrée pour comprendre une SID est ici (voir rules doc) :
https://www.snort.org/

Donc si une règle n'est pas documentée, à part essayer de comprendre la règle par soi-même ou contacter la personne qui l'a proposée (ou quelqu'un du projet snort), il n'y a pas des masses de manières de s'en sortir...

Bonne chance
0
Faudrait arrêter le bla bla pour avoir l’air… de cacher la misère, vous ne croyez tout de même pas arrêter un hack avec Snort ? Ça fait un bout de temps qu’on sait leurrer ce genre de truc sujet aux faux positifs, le problème c’est quoi ? Un troyen ? Trop tard, un routeur hacké ? le wifi hacké ?
Vu le niveau de quelqu’un qui vient de télécharger Snort et se renseigne sur son fonctionnement, ce n’est pas l’analyse des SID qui va le tirer d’affaire en cas de problème, par contre s’il sait ce qu’est un réseau il peut bloquer certains flux, fermer certains ports, ou mieux régler son routeur, pour limiter ou bloquer l’attaque en cours.

Ce monsieur me demande si j’ai un pare feu, après que je lui aies parlé de Netfilter UFW, bizarre ! si mes souvenirs sont bons, Snort activé UFW l’est aussi, et s’il ne l’est pas il peut l’être, faudrait commencer par déchiffrer ses logs… et passer ensuite aux SID, pour le fun...
0
mamiemando Messages postés 33401 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2024 7 804
6 sept. 2016 à 09:40
Je crois que tu n'as décidément pas compris la question. La question n'est pas sur l'utilité de snort ou son utilisation (ni ufw d'ailleurs). La question réside sur comment documenter des règles snort.

Et quoi qu'il en soit, même si quelqu'un de déterminé arrivera peut-être à contourner snort mais; si ça permet d'éliminer la plupart des kiddies et des bots ce sera déjà ça de pris.

Et enfin sa discussion sur ufw était juste une manière de te faire comprendre ce dont il avait besoin : ici aussi, la raison pour laquelle telle ou telle règle ufw a été configurée n'est pas toujours "évidente" et est une réponse à une attaque. La question n'est pas qu'est ce qu'elle bloque, mais pourquoi elle a été mise en place.

Si tu veux disserter sur l'utilité de ufw et de snort, je t'invite à ouvrir ton propre fil de discussion ; si tu veux poster ici, merci de bien vouloir de concentrer sur le problème posé.
0
Noel-barbu Messages postés 258 Date d'inscription mercredi 5 septembre 2012 Statut Membre Dernière intervention 16 janvier 2018 2 > mamiemando Messages postés 33401 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2024
7 nov. 2016 à 12:05
éclaircissement mamie Mando

Pour info j'ai avancé lancer le site en question qui permet de donner de détails sur les règles snort je te passe ça en mp.
0
mamiemando Messages postés 33401 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 28 novembre 2024 7 804
7 nov. 2016 à 21:11
Merci je vais regarder ça :-)
0