Ho installato Snort e ottimizzato le regole ET sul mio pfSense, sia il mio pfSense che il modem utilizzano Google Public 8.8.8.8 pubblico.
Recentemente mi è stato negato l'accesso a google.com e esaminando i log, Ho trovato i seguenti record nell'elenco bloccato per lo stesso IP:
- ET INFO Possibile installazione del plug-in per Chrome
- Numero di carta di credito SENSITIVE-DATA
Ho soppresso l'IP incriminato per ulteriori indagini che hanno rivelato che è uno dei miei IP dell'ISP con porte 80.443 e CPE per impronte digitali del sistema operativo: cpe: / o: freebsd - nmap dice.
Un traceroute verso l'IP dannoso finisce sull'hop 10 con un IP virtuale / privato, apparentemente un router nel sistema AS del mio ISP con proxy trasparente "?"
Più tardi ho provato ad accedere all'IP offendente dal mio browser Web e sono stato reindirizzato su google.com.mycountry
Ora sono confuso. Potrebbe essere uno Snort falso positivo? C'è qualcosa di cui dovrei essere preoccupato?