เสริมแกร่งให้ pfSense ด้วย snort – หมูน้อยเทวดา
เป็นที่ทราบกันดีว่า snort – หมูน้อยเทวดา ไม่ธรรมดาจริงๆ หลังจากเคยทดสอบเมื่อนานมาแล้วแต่ไม่สำเร็จ วันนี้เป็นอันว่าได้ snort มาเสริมทัพให้แกร่ง แรงไม่แรงต้องลองด้วยตัวเองครับ
ขั้นตอนการติดตั้ง Sonrt
1. สมัครเป็สมาชิก snort แล้วทำการ Generate Oinkcodes ดังภาพตัวอย่าง
2. ทำการติดตั้ง snort package แล้วนำ Oinkcodes มาใส่ และกำหนดค่าต่างๆ ตามนั้นเลย
3. คลิกที่แท็บ Update Rules เพื่อทำการโหลด Snort Rules จากเว็บไซต์ Snort นั่นเอง
4. เมื่อ Update เรียบร้อยแล้วก็ทำการ Start Service ด้วยเด้อ
5. แท็บ Categories จะพบรายการที่ได้ปรับปรุงแล้ว แนะนำว่าให้ Enable ทั้งหมดเลยละกัน
6. สำรวจ Rules กันหน่อย โอว์.. อะไรกันนี่
7. ไหนดูสิ มีใครบุกรุกประตูหลังเราบ้าง (มีเสียวเล็กน้อย)
เพื่อนๆ ท่านไหนลองใช้แล้ว มีอะไรจะเสริมก็เชิญเลยนะครับ…
กำลังหาข้อมูลอยู่พอดี ขอบคุณทางทีมงานมากครับ
มันป้องกัน netcut ได้ไหมคับป๋ม
ลำพังตัว pfSense เองสามารถป้องกัน NetCut ได้ครับ แต่เครื่อง Client ที่อยู่ใน LAN Subnet ไม่รอดครับ โดนหมด
วิธีแก้ไข NetCut ก็คือ ใช้โปรแกรม Anti NetCut ติดตั้งที่เครื่อง Client หรือติดตั้งระบบ PPPoE Server สำหรับ LAN Subnet (กำลังทดสอบอยู่ ยังทำไม่สำเร็จ)
PPPoE เหรอครับ น่าสนใจดี ว่างๆ แนะนำหน่อยนะครับ ถ้าทำสำเร็จ
ช่วยกันทดสอบนะครับ บน pfSense ไปที่ Services > PPPoE Server ผมลองแล้ว Authen ผ่าน แต่ยังออกเน็ตไม่ได้ ยังไม่รู้ติดปัญหาอะไร เดี๋ยวว่างๆ มานั่งดูใหม่
โดยทั่วไปแล้ว snort block อะไรได้บ้างครับ (ที่สำคัญ ๆ)
SNORT มี Log ที่ ตรวจสอบว่าใครทำการ โจมตี server หรือว่า ใช้โปรแกรม netcut งี้ไหมครับ, ในเมื่อ ยังบล๊อกไม่ได้ ขอหาตัว หรือว่าไอพีละ กันครับ
Snort เป็นโปรแกรมประเภท IDS (Intrusion Detection System) ระบบตรวจสอบและป้้องกันการบุกรุกจากผู้ไม่หวังดี ใน category จะมีการป้องกันแต่ละประเภท ถ้าดูใน Rules จะพบรายละเอียดของการป้องกันดังกล่าว
Snort Logs ตรวจสอบผู้โจมตีด้วย NetCut ได้หรือไม่ ยังไม่ได้ลองครับ
ตอนนี้ผมได้ ใช้ pfsentse ในหอพักชของผมเรียบร้อยแล้วครับ อย่างอื่น ค่อนข้างจะ ดีมาก แต่มี ข้อสงสัยอยู่อย่างนึง ครับ เด็กหอ ส่วนมากเป็นนักศึกษาครับ ชอบลอง ของ ไม่รู้ว่า ใช้โปรแกรม ทำให้ server ตัดการเชื่อมต่อ ไป ครับ แล้วซักพัก ก็กลับมา ดีเหมือนเดิม เหมือนจะ ยิงไปที่ server ครับ ซึ่งตอน ที่ยังไม่ได้ ติดตั้ง pfsense ก็เจอเหตุการณ์แบบนี้เหมือนกัน ติดตั้ง snort ก็ยังกันไม่ได้ครับ พอจะ ช่วยแนะนำหน่อยได้ไหมครับ
ฟังดูแล้วน่าจะไม่ใช่ NetCut เพราะโปรแกรมดังกล่าวไม่มีผลกับ pfSense แต่จะมีผลกับเครื่อง client อื่นๆ ใน Subnet เดียวกัน
- ตรวจสอบใน Syslog แล้วพบอะไรที่ผิดปกติ หรือว่ามีการโจมตีจาก IP Address ไหนหรือไม่
- ไม่ทราบว่าการเชื่อต่อเป็นแบบ PPPoE หรือป่าว ถ้าใช่ลองเปลี่ยนเป็นแบบ Static / DHCP ดูครับ เผื่อแก้ได้
Update Rule ยังไมไ่ด้เลย
Please wait… You may only check for New Rules every 15 minutes…
Rules are released every month from snort.org. You may download the Rules at any time.
นั่งรอมาตั้งนานละครับ
Please wait… You may only check for New Rules every 15 minutes…
Rules are released every month from snort.org. You may download the Rules at any time.
นั่งรอมาตั้งนานละครับ
======================
เป็นเหมือนกันเลยครับ
ยกเลิกหัวข้อ Install Emergingthreats rules แล้วลอง Update ใหม่ได้ไหมครับ
ยังไม่ได้เลยครับ
ขอบคุณ Laon Talk มากครับ เป็น Web Site ที่ให้ความรู้แก่ผมและทุกๆคนมากเลย ดูแล้ว เข้าใจง่ายทำได้แค่ครึ่งวันก็มี Firewall ดีๆ + Squid ได้ใช้เลย ก่อนหน้านี้เคยใช้อยู่แต่ทำได้ไม่ลึกขนาดนี้เลยครับ
พอดีเมื่อวาน ว่าจะทำ Pfsense ขึ้นมาใหม่ โชคดีได้เจอ Web นี้ ไปถึงฝันเลยครับ
ท้ายสุดนี้ก็ขอให้ผู้ที่ทำ เสียสละเวลา และความมีน้ำใจ เจริญๆ ร่ำรวยยิ่งขึ้นไป สุขภาพแข็งแรงนะครับ สาธุ…. ^_^ และขออนุญาตินำ Link ไปเผยแพร่ต่อนะครับ
“ฉี่ข้างล้อ”
ขอบคุณคร๊าบ.. ร่ำรวยๆ เช่นกัน
There is a new set of Snort rules posted. Downloading…
นานมาก ครับไม่ขยับเลย
ลอง
ยกเลิก Install Emergingthreats rules แล้วลอง Update
จะได้แบบนี้ครับ
Please wait… You may only check for New Rules every 15 minutes…
Rules are released every month from snort.org. You may download the Rules at any time.
Services: Snort 2.8.4.1 pkg v. 1.4 ครับ
ผมทดสอบติดตั้งใหม่ก็ปกตินี่ครับ พอกด Update Rules ก็เริ่มโหลดทันที อาจจะโหลดนานหน่อยแต่ก็สำเร็จ 100%
ระวังเวลาใส่ Oinkcodes อย่าให้มี Space ทั้งด้านหน้าและ้ด้านหลังนะครับ
System Info:
- pfSense 1.2.3 RC1
- Snort Stable 2.8.4.1
- Internet Speed 3MB
- Memory 512MB
ถ้าเรารู้หรือสงสัยเครื่องทที่ใช้Netcut และทำการบล๊อก ในpfsense ไม่ให้ใช้เนตได้ จะใช้ได้ไหมครับ แล้วเครื่องนั้นจะยังตัดเนตชาวบ้านได้อีกไหมครับ
จุดสังเกตอีกอย่างหนึ่งในการติดตั้ง snort นะครับ ผมจะติดติดตั้งโดยที่ยังไม่มี package ใดๆ เลย วิธีนี้ผ่านตลอด
บางครั้งติดตั้ง squid proxy แล้วค่อยติดตั้ง snort ได้บ้าง ไม่ได้บ้าง …
สำหรับใครที่ยังติดตั้งไม่ได้แนะนำวิธีแรกนะครับ ถ้าไม่ได้ยังไงช่วยโพสมาอีกที
เรื่อง Netcut เจ้าปัญหานี่เท่าที่ลองดู ถ้าเจ้าตัวต้องการก่อกวนถึงแม้จะ block ไม่ให้เล่นเน็ตได้ แต่ก็ยังสามารถ cut ชาวบ้านได้อยู่ดี
วิธีแก้ไขคงต้องเปลี่ยนไปใช้ PPPoE Server หรือใช้กฎหมาย เพราะวิธีการนี้ถือว่าผิดกฎหมาย พรบ. คอมพิวเตอร์ด้วยครับ
จัดการเจ้า netcut ได้แล้ว โดยใช้โปรแกรม antinetcut เมื่อมีคนตัดเนตเรา มันจะแจ้งไอพี นั้น ทีนี้ก็เสร็จเราละ พอรู้ไอพีนั้น ก็บล๊อกมันเลยไม่ให้ใช้เนต แต่มีปัญหาคือเราจะใช้pfsense บล๊อก Mac address ยังไง ยังหาไม่เจอเลยอ่ะครับ ทำได้แต่ดึงสายเจ้าคนใช้ netcut ออกอ่ะครับ
การ Block MAC ลองวิธีนี้ดูนะครับอาจช่วยได้
1. ไปที่ DHCP Server ด้านล่างสุด เราสามารถ Mapping MAC กับ IP Address ได้ แต่จะต้องไม่อยู่ใน Rang เดียวกันกับ DHCP, หรือสามารถทำที่ status > DHCP Lease คลิกเครื่องหมาย + (add static mapping for this MAC Address)
2. เลือกคำสั่ง Deny unknown clients เพื่อทำการปฎิเสธทุก MAC Address ที่ไม่ได้อยู่ใน Mapping List
ลองดูครับได้ผลยังไงแล้วบอกด้วย..
การใช้ antinetcut นานๆ จะทำให้เครือข่ายทั้งหมดช้า อันนี้ใครเป็นบ้าง
สมัครสมาชิก snort ได้ที่เว็บไหนคับ บอกผมที
ขอบคุณคับ
register ที่
http://www.snort.org
ขอบคุณครับ ใช้ได้ผลครับ
ทำไม start snort ไม่ได้ครับ ดูใน Status > Service ยัง stop อยู่ คลิกที่ปุ่ม Start จะขึ้น snort has been started.
start service ไม่ได้เหมือนกันครับ
เอ๋.. ขอผมก็ Start ได้ปกตินะ ไม่ทราบว่าใช้ pfSense เวอร์ชั่นไหนครับ..
rule backdoor มีปัญหาครับ ถ้าเลือกจะรีสตาร์ทไม่ได้ จะใช้ rule ไหนก็ลองค่อยๆเลือกทีละอันครับ ถ้าใช้แล้วมีปัญหาก็เอาออก
Update Rule ไม่ได้เหมือนกันครับ Start Service ก็ไม่ได้
ผมทำpfsense เป็น PPPoE Server ออกเน็ตได้(1.2.3-RC1)
โดยกำหนด Usersใช้งาน ในServices:PPPoEที่หน้าของServices:PPPoE:Users และไปกำหนดFirewall: Rulesก็สามารถใช้งานได้ดี
แต่ผมอยากให้กำหนดUsersใช้งาน ในServices FreeRADIUS ของpfsenseแทน แต่ทำไม่ได้สักที ใครใช้Services:PPPoE แล้วกำหนดUsersใช้งาน ในServices:FreeRADIUS ของpfsenseได้บ้างครับช่วยแนะนำหน่อยครับ (*Use a RADIUS server for authentication*)
**เพราะถ้ากำหนด Usersใช้งาน ในServices:PPPoE:Users
1.จะไม่มีที่กำหนดตัดวันใช้งานUsers
2.เมื่อเราแก้ไขอะไรก็ตามในServices:PPPoEแล้ว save มันจะตัดUsersที่ใช้งาน ล็อกอินอยู่ตอนนั้น
ไม่ทราบได้ลองทำคล้ายๆ วิธีนี้ดูหรือยัง
http://www.laontalk.com/2009/05/31/985
*ขอบคุณท่าน laontalk มากครับ*
##ทำpfsenseเป็น PPPoE Server ออกเน็ต อยากให้กำหนดUsersใช้งาน ในServices FreeRADIUS ของpfsense แต่ทำไม่ได้สักที.
ตอนนี้สามารถใช้งานได้แล้วครับ ปัญหาของผมเกิดจากServices FreeRADIUS ไม่ทำงานเช็คดูใน Status: Services มันขึ้นสถานะStopped พอกด start service ก็สามารถใช้งานได้เลย คงเป็นเพราะผมไม่ได้รีบูต ตัวpfsense หลังตั้งค่าเสร็จ เพราะมีUserใช้งานตลอด24ชั่วโมงเลยต้องทำกันสดๆสงสารคอมฯเหมือนกันไม่ได้ปิดมาหลายเดือนแล้ว
-ขอถามอีกอย่างนะครับคือ User ของ PPPoE เราสามารถกำหนดper-user bandwidth เหมือนในServices:Captive portalrestriction ได้ไหมครับ เพราะตอนนี้Userที่ล็อกอินด้วยระบบPPPoE ยังไม่สามารถจำกัดค่า download/upload ในการใช้งานอินเตอร์เน็ตได้-
— pltongtoete —
-ขอถามอีกอย่างนะครับคือ User ของ PPPoE เราสามารถกำหนดper-user bandwidth เหมือนในServices:Captive portalrestriction ได้ไหมครับ เพราะตอนนี้Userที่ล็อกอินด้วยระบบPPPoE ยังไม่สามารถจำกัดค่า download/upload ในการใช้งานอินเตอร์เน็ตได้-
———————-
อันนี้ยังไม่เคยลองนะครับ… ไม่แนใจว่าทำได้หรือป่าว
ลง snort ver 2.8.6 pkg v. 1.27
แล้วไม่สามารถโหลด update ได้ครับ มี oinkcode แล้ว ลองจนไม่รู้จะทำยังไงแล้วครับช่วยหน่อย
ขอโทษครับพิมพ์ผิดไป update ไม่ได้ครับ
ทำได้แล้วนะครับ ไม่มีอะไรมากก็แค่ไปเอาไฟล์ update มาแล้วก็มาติดตั้งเองครับ ไปอ่านมาจากกระทู้ของ pfsense มา
ถามหน่อยครับ rule p2p นี่ แสดงว่า บลอคบิทได้หรือไม่ครับ คือมันตัดการเชื่อมต่อเลยใช่ไหมครับ
snort ใช้ร่วมกับการทำ loadbalance ได้หรือไม่ครับ