Suricata probleme

Started by jinn, October 31, 2018, 11:16:19 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 31, 2018, 11:16:19 AM
Hallo zusammen,

morgen wollte ich die OPNsense online nehmen und dafür heute noch IDS/IPS mit suricata konfigurieren und testen.

Derzeit gehe ich über das LAN Interface über unsere Firewall ins Internet. WAN Gateway ist deaktiviert, da dieses erst morgen angeschlossen wird.

Suricata ist folgendermaßen Konfiguriert:
Enabled [X]
IPS mode [X]
Promiscuous mode [ ]
Enable syslog alerts [ ]
Interfaces [LAN]

Bei Pattern matcher [Hyperscan] wird der Dienst einfach beendet ohne einen Eintrag im Log

Code Select

Oct 31 10:58:29 suricata: [101386] <Info> -- 37291 signatures processed. 3063 are IP-only rules, 6190 are inspecting packet payload, 29960 inspect application layer, 103 are decoder event only
Oct 31 10:58:28 suricata: [101386] <Info> -- Threshold config parsed: 0 rule(s) found
Oct 31 10:58:28 suricata: [101386] <Info> -- 60 rule files processed. 37286 rules successfully loaded, 0 rules failed
Oct 31 10:58:16 suricata: [101383] <Info> -- Found an MTU of 1500 for 'lagg0'
Oct 31 10:58:16 suricata: [101383] <Info> -- Found an MTU of 1500 for 'lagg0'
Oct 31 10:58:16 suricata: [101383] <Info> -- Found an MTU of 1500 for 'lagg0'
Oct 31 10:58:16 suricata: [101383] <Info> -- Found an MTU of 1500 for 'lagg0'
Oct 31 10:58:16 suricata: [101383] <Info> -- Netmap: Setting IPS mode
Oct 31 10:58:16 suricata: [101383] <Info> -- CPUs/cores online: 8
Oct 31 10:58:16 suricata: [101383] <Notice> -- This is Suricata version 4.0.5 RELEASE


Mit Aho-Corasick läuft d er Dienst und legt auch ein Logfile für die Alerts an.
Testweise habe die Rulesets von abuse.ch sowie ein paar von emergingthreats.net auf drop gestellt.
Wenn ich jetzt versuche eine Adresse von https://urlhaus.abuse.ch/browse aufzurufen ist dies Problemlos möglich. Die IP wird im Log auch gar nicht angezeigt, dafür ein paar andere Einträge mit "allowed".

Fehlt hier noch irgendwas, damit auch alles geprüft wird?
January 13, 2019, 11:46:28 PM #1
Hallo,

hast du mittlerweile eine Antwort/Lösung gefunden? Weil ich habe es auch ähnlich getestet, aber erhalte auch keine Alarmmeldungen?
January 16, 2019, 02:16:16 PM #2
Moin,

leider noch nicht, momentan läuft IDS/IPS zwar, allerdings nur mit check auf WAN. Gestern habe ich es kurz auf LAN geändert, dann war das Internet weg, ich habe LAN schnell wieder raus genommen, und die firewall ist neu gestartet :/ Werde das ggf. nochmal an einem Wochenende im Februar testen können
Print
Go Up Pages1
User actions