Вопрос или проблема
У меня установлен Snort, который хорошо настроен с правилами ET на моем pfSense, и как pfSense, так и модем используют публичный DNS Google 8.8.8.8.
Недавно мне был запрещён доступ к google.com, и, просматривая журналы, я нашёл следующие записи в списке заблокированных по тому же IP:
- ET INFO Возможная установка плагина Chrome
- SENSITIVE-DATA Номер кредитной карты
Я подавил проблемный IP для дальнейшего расследования, которое показало, что это один из IP моего провайдера с портами 80, 443 и отпечатком ОС CPE: cpe:/o:freebsd – говорит nmap.
Трассировка до проблемного IP заканчивается на 10-м переходе с виртуальным/приватным IP, видимо, это маршрутизатор в системе AS моего провайдера с прозрачным прокси “?”
Позже я попытался получить доступ к проблемному IP из своего веб-браузера и был перенаправлен на google.com.mycountry
Теперь я в замешательстве. Может ли это быть ложным срабатыванием Snort? Должен ли я о чем-то беспокоиться?
Мне кажется, что Snort, возможно, выполнял свою работу.
ET INFO Возможная установка плагина Chrome
Вышеуказанное правило обнаруживает, когда был установлен плагин для Chrome. Возможно, вы установили один из Google.
SENSITIVE-DATA Номер кредитной карты
Вышеуказанное правило соответствует любому числу в пакете, которое похоже на номер кредитной карты. Возможно, один из ваших запросов содержал последовательность чисел, похожую на номер кредитной карты.
Следующие вопросы:
– уточнить, что произошло (какой плагин? Какой номер?)
– хотите ли вы следить за этими правилами? Возможно, отключить их
– если оставить включёнными, должны они блокировать или просто уведомлять?
Правила Snort требуют много обслуживания и настройки.
Ответ или решение
Судя по описанию вашей ситуации, вы столкнулись со срабатыванием правил Snort, которые могут быть как ложными положительными срабатываниями, так и реальными угрозами. Давайте разберёмся подробнее по каждому из упомянутых вами пунктов.
-
ET INFO Possible Chrome Plugin install: Это правило срабатывает, когда система обнаруживает установку расширения Chrome. Возможно, вы действительно установили расширение, которое вызвало это предупреждение. Рекомендуется проверить, какие расширения были установлены в вашем браузере, и убедиться, что они безопасны и необходимы вам. Если это расширение было установлено вами, скорее всего, всё в порядке. Если нет, то стоит провести дальнейший анализ.
-
SENSITIVE-DATA Credit Card Number: Это правило срабатывает, когда в передаваемом трафике обнаруживается последовательность чисел, напоминающая номер кредитной карты. Здесь важно обратить внимание на то, что ваш запрос мог содержать данные, которые случайно попали под это правило. Проверьте, какие именно запросы вы отправляли перед блокировкой. Вы можете использовать такие инструменты, как Wireshark, для подробного анализа трафика.
Рекомендации:
-
Подтвердите факты: Проверьте, какое расширение могло инициировать первое предупреждение и не содержал ли ваш веб-запрос номер, похожий на номер кредитной карты.
-
Настройка правил Snort: Если вы установили расширение и уверены, что оно безопасно, вы можете рассмотреть возможность отключения или изменения этого правила, чтобы оно просто уведомляло вас об этом, а не блокировало доступ. Ложные положительные срабатывания требуют систематической настройки правил Snort.
-
Мониторинг правил: Рассмотрите возможность оставить правила включёнными, но изменить их на режим оповещения, для того чтобы получать уведомления о таких событиях в будущем без блокировки доступа.
-
Тестирование сетевой инфраструктуры: Убедитесь, что ваша сетевое устройство и протоколы работают корректно. Использование трассировки маршрута и анализа сетевого трафика может помочь вам выяснить, нет ли каких-либо парадоксальных перенаправлений или аномалий в вашем интернет-трафике.
Заключение
Судя по всему, ситуации с низкой вероятностью реальной угрозы. Однако, быть бдительным не помешает. Поддерживайте ваши правила Snort актуальными и настройте их в соответствии с вашим сетевым окружением. Если у вас возникнут дополнительные вопросы или потребуется помощь, не стесняйтесь обратиться за поддержкой в сообщество или к специалистам по безопасности.