Hallo Leute,
der Threadtitel sagts eigentlich schon. Habe den IDS / IPS Dienst suricata aktiviert und nach ca 15-20 Minuten wird der Dienst automatisch deaktiviert. Womit kann das zusammenhängen? Gibt es logfiles, die dort Einblick verschaffen? Kann ich das Verhalten beeinflussen bzw. den Dienst dauerhaft aktivieren?
Unter Dienste->Einbruchserkennung->Protokolldatei findest du die suricata logs
Besten Dank für die Info.
Das Logfile ist leider nicht aussagekräfitg:
2021-12-27T10:05:29 suricata[45842] [100140] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-27T09:43:11 suricata[76496] [100343] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T22:48:15 suricata[53046] [100116] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T22:10:52 suricata[77437] [100118] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T21:33:18 suricata[29964] [100140] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
Die Uhrzeiten markieren, wann ich suricata als Dienst manuell wieder aktiviert habe, nachdem es sich selbst deaktiviert hat. Jemand eine Idee, warum es sich so verhält?
Quote from: Bogotrax on December 27, 2021, 10:07:53 AM
Besten Dank für die Info.
Das Logfile ist leider nicht aussagekräfitg:
2021-12-27T10:05:29 suricata[45842] [100140] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-27T09:43:11 suricata[76496] [100343] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T22:48:15 suricata[53046] [100116] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T22:10:52 suricata[77437] [100118] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T21:33:18 suricata[29964] [100140] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
Die Uhrzeiten markieren, wann ich suricata als Dienst manuell wieder aktiviert habe, nachdem es sich selbst deaktiviert hat. Jemand eine Idee, warum es sich so verhält?
Welche OPNsense Version?
Welche Hardware?
Hast du gleichzeitig noch Sensei/Zenarmor oder netflow aktiv?
Auf welchen Interfaces läuft der Dienst und wie sind diese konfiguriert?
Gesendet von meinem M2012K11AG mit Tapatalk
Versions OPNsense 21.7.7-amd64
FreeBSD 12.1-RELEASE-p21-HBSD
OpenSSL 1.1.1l 24 Aug 2021
Updates Click to check for updates.
CPU type AMD GX-412TC SOC (4 cores)
Service Description Status
configd System Configuration Daemon
cron Cron
dhcpd DHCPv4 Server
login Users and Groups
ntpd Network Time Daemon
pf Packet Filter
routing System routing
suricata Intrusion Detection
sysctl System tunables
syslog-ng Syslog-ng Daemon
unbound Unbound DNS
webgui Web GUI
QuoteHast du gleichzeitig noch Sensei/Zenarmor oder netflow aktiv?
Dazu kann ich leider nichts sagen, weil ich die Dienste nicht kenne. Ist mehr oder weniger Standardkonfiguration.
Die aktivierten Dienste habe ich oben aufgeführt (bis auf suricata - der ist deaktiviert..).
QuoteAuf welchen Interfaces läuft der Dienst und wie sind diese konfiguriert?
Services: Intrusion Detection: Administration
Enabled (checked)
IPS mode (unchecked)
Promiscuous mode (unchecked)
Enable syslog alerts (checked)
Enable eve syslog output (unchecked)
Pattern matcher (Aho-Corasick)
Interfaces (WAN)
Rotate log (Daily)
Save logs (4)
Quote from: Bogotrax on December 27, 2021, 10:53:22 AM
Versions OPNsense 21.7.7-amd64
FreeBSD 12.1-RELEASE-p21-HBSD
OpenSSL 1.1.1l 24 Aug 2021
Updates Click to check for updates.
CPU type AMD GX-412TC SOC (4 cores)
Service Description Status
configd System Configuration Daemon
cron Cron
dhcpd DHCPv4 Server
login Users and Groups
ntpd Network Time Daemon
pf Packet Filter
routing System routing
suricata Intrusion Detection
sysctl System tunables
syslog-ng Syslog-ng Daemon
unbound Unbound DNS
webgui Web GUI
QuoteHast du gleichzeitig noch Sensei/Zenarmor oder netflow aktiv?
Dazu kann ich leider nichts sagen, weil ich die Dienste nicht kenne. Ist mehr oder weniger Standardkonfiguration.
Die aktivierten Dienste habe ich oben aufgeführt (bis auf suricata - der ist deaktiviert..).
QuoteAuf welchen Interfaces läuft der Dienst und wie sind diese konfiguriert?
Services: Intrusion Detection: Administration
Enabled (checked)
IPS mode (unchecked)
Promiscuous mode (unchecked)
Enable syslog alerts (checked)
Enable eve syslog output (unchecked)
Pattern matcher (Aho-Corasick)
Interfaces (WAN)
Rotate log (Daily)
Save logs (4)
Wie ist dein WAN Interface konfiguriert?PPPOE?
Meine da gab's mal Probleme
Gesendet von meinem M2012K11AG mit Tapatalk
Interfaces: [WAN]
Enable Enable Interface (checked)
Lock Prevent interface removal (unchecked)
Device igb1
Description (blank)
Generic configuration
Block private networks (unchecked)
Block bogon networks (unchecked)
IPv4 Configuration Type (DHCP)
[...]
Override MTU (checked)
Dabei fällt mir auf - folgender Dienst deaktiviert sich auch selbst
"unbound Unbound DNS"
Ich hab mal sicherheitshalber das Passwort geändert. Selbes Verhalten.
Crossposting im suricata forum - man möge es mir verzeihen.
Ein ähnliches Problem habe ich auch, kann es sein das hier die Hardware zu schwach ist?
die apu's können damit schon überfordert sein (ist ja auch keine so tolle hardware)
Ich lasse gerade mit folgenden Diensten laufen
configd System Configuration Daemon (enabled)
cron Cron (disabled)
dhcpd DHCPv4 Server (enabled)
login Users and Groups (enabled)
ntpd Network Time Daemon (disabled)
pf Packet Filter (enabled)
routing System routing (enabled)
suricata Intrusion Detection (enabled)
sysctl System tunables (enabled)
syslog-ng Syslog-ng Daemon (disabled)
unbound Unbound DNS (enabled)
webgui Web GUI (enabled)
CPU temp 72 °C
CPU Auslastung rnd 50%
Memory 94%
Status von suricata enabled.
Gibts was , was RAM schluckt , aber nicht notwendig ist bei den Diensten?
Gibts einen Dienst, den ich wieder aktivieren sollte?
Update: gerade ist suricata wieder disabled worden. RAM auslastung auf 24 % gefallen. Anscheinend frisst suricata dem System zu viel ram. Was von den Diensten kann ich noch deaktivieren. Suricata hat priorität. Ohne dem kann ich gleich ne neue Maschine kaufen.
Wieso läuft suricata so schnell "voll" und schaltet sich selbst ab? Kann man dem Verhalten mit weniger rules entgegenkommen?
Es sind standardmäßig ca 14 % von den "121926 entries" aktiviert. Wenn nur so wenige Rules anscheinend eine Rolle spielen, kann man da standardmäßig welche deakvieren bzw. nicht downloaden.:
abuse.ch/Feodo Tracker 2021/12/26 21:04
abuse.ch/SSL Fingerprint Blacklist 2021/12/26 21:04
abuse.ch/SSL IP Blacklist 2021/12/26 21:04
abuse.ch/ThreatFox 2021/12/26 21:04
abuse.ch/URLhaus 2021/12/26 21:04
ET open/botcc 2021/12/26 21:05
ET open/botcc.portgrouped 2021/12/26 21:04
ET open/ciarmy 2021/12/26 21:05
ET open/compromised 2021/12/26 21:05
ET open/drop 2021/12/26 21:05
ET open/dshield 2021/12/26 21:05
ET open/emerging-activex 2021/12/26 21:05
ET open/emerging-adware_pup 2021/12/26 21:05
ET open/emerging-attack_response 2021/12/26 21:05
ET open/emerging-chat 2021/12/26 21:05
ET open/emerging-coinminer 2021/12/26 21:05
ET open/emerging-current_events 2021/12/26 21:05
ET open/emerging-deleted 2021/12/26 21:05
ET open/emerging-dns 2021/12/26 21:05
ET open/emerging-dos 2021/12/26 21:05
ET open/emerging-exploit 2021/12/26 21:05
ET open/emerging-exploit_kit 2021/12/26 21:05
ET open/emerging-ftp 2021/12/26 21:05
ET open/emerging-games 2021/12/26 21:05
ET open/emerging-hunting 2021/12/26 21:05
ET open/emerging-icmp 2021/12/26 21:05
ET open/emerging-icmp_info 2021/12/26 21:05
ET open/emerging-imap 2021/12/26 21:05
ET open/emerging-inappropriate 2021/12/26 21:05
ET open/emerging-info 2021/12/26 21:05
ET open/emerging-ja3 2021/12/26 21:05
ET open/emerging-malware 2021/12/26 21:05
ET open/emerging-misc 2021/12/26 21:05
ET open/emerging-mobile_malware 2021/12/26 21:05
ET open/emerging-netbios 2021/12/26 21:05
ET open/emerging-p2p 2021/12/26 21:05
ET open/emerging-phishing 2021/12/26 21:05
ET open/emerging-policy 2021/12/26 21:05
ET open/emerging-pop3 2021/12/26 21:05
ET open/emerging-rpc 2021/12/26 21:05
ET open/emerging-scada 2021/12/26 21:05
ET open/emerging-scan 2021/12/26 21:05
ET open/emerging-shellcode 2021/12/26 21:05
ET open/emerging-smtp 2021/12/26 21:05
ET open/emerging-snmp 2021/12/26 21:05
ET open/emerging-sql 2021/12/26 21:05
ET open/emerging-telnet 2021/12/26 21:05
ET open/emerging-tftp 2021/12/26 21:05
ET open/emerging-user_agents 2021/12/26 21:05
ET open/emerging-voip 2021/12/26 21:05
ET open/emerging-web_client 2021/12/26 21:05
ET open/emerging-web_server 2021/12/26 21:05
ET open/emerging-web_specific_apps 2021/12/26 21:05
ET open/emerging-worm 2021/12/26 21:05
ET open/tor 2021/12/26 21:05
OPNsense-App-detect/file-transfer 2021/12/26 21:04
OPNsense-App-detect/mail 2021/12/26 21:04
OPNsense-App-detect/media-streaming 2021/12/26 21:04
OPNsense-App-detect/messaging 2021/12/26 21:04
OPNsense-App-detect/social-networking 2021/12/26 21:04
OPNsense-App-detect/test 2021/12/26 21:04
OPNsense-App-detect/uncategorized 2021/12/26 21:04
Ich benutze fast gar nix mit dem Netzwerk - kein Mailserver, kein Nix.
nutze doch mal die suche, bin mir nicht sicher aber ich glaube die empfehlung für suricata liegt schon über 8GB Ram eher 16GB (wie gesagt nutze mal die forum suche, wurde schon öfter hier behadelt)
Auf einer Proxmox VM läuft es mit einem Xeon E3 zuverlässig, dieser ist zwar auch kein Monster CPU aber immer noch leistungsfähiger als eine APU. Ich werde wohl auch meine APU nächstes Jahr außer Betrieb nehmen und mir FW technisch stärkere HW kaufen. Das Problem mit der geringen Lesitung der APU wurde hier jetzt auch in anderen Zusammenhängen, wie Micneu auch sagt, schon öfter diskutiert. MFG
Ich hab jetzt alle Einstellungen durch auf der Weboberfläche von suricata. Wem noch etwas anderes einfällt, der möge das bitte hier reinschreiben. Ansonsten gehe ich davon aus, dass suricata auf der APU einfach nicht lauffähig ist. Besten Dank an alle Rückmeldungen.
Quote from: Bogotrax on December 29, 2021, 05:25:53 AM
Ich hab jetzt alle Einstellungen durch auf der Weboberfläche von suricata. Wem noch etwas anderes einfällt, der möge das bitte hier reinschreiben. Ansonsten gehe ich davon aus, dass suricata auf der APU einfach nicht lauffähig ist. Besten Dank an alle Rückmeldungen.
Weiß nicht wieviel RAM deine Hardware hat.
Aber alles unter 8GB ist schon sehr kritisch und eigentlich nicht auf dauer lauffähig.
Bevor du aber neue Hardware kauft, denk drüber nach ob du Suricata wirklich brauchst.
Es ist schließlich auch kein magisches Tool was nur schlechten Traffic Filtert, hat genau so schwächen oder macht in einigen Bereichen auch einfach keinen Sinn.
Oft wird Suricata als Must Have dargestellt, welches immer aktiv sein muss... Das ist nicht der Fall....
Hast du Beispielsweise keine Ports auf dem WAN offen, muss dort meine Ansicht nach auch kein Suricata laufen.
Gesendet von meinem M2012K11AG mit Tapatalk
Danke an franco, der swap hats gebracht unter System -> Misc (/system_advanced_misc.php ist der "Pfad"). Reboot und mit der Swappartition läuft es stabil! Sind nur 2GB mehr, aber es läuft!
Quote from: Bogotrax on December 29, 2021, 03:19:39 PM
Danke an franco, der swap hats gebracht unter System -> Misc (/system_advanced_misc.php ist der "Pfad"). Reboot und mit der Swappartition läuft es stabil! Sind nur 2GB mehr, aber es läuft!
dann würde ich auf dauer die Swap Partition auf eine extra Festplatte auslagern, damit nicht deine Systemplatte in kurzer Zeit den Geist aufgibt.
Mal davon ab scheint dein System für dein Vorhaben unter dimensioniert zu sein
Quote from: lfirewall1243 on December 29, 2021, 04:28:10 PM
Quote from: Bogotrax on December 29, 2021, 03:19:39 PM
Danke an franco, der swap hats gebracht unter System -> Misc (/system_advanced_misc.php ist der "Pfad"). Reboot und mit der Swappartition läuft es stabil! Sind nur 2GB mehr, aber es läuft!
dann würde ich auf dauer die Swap Partition auf eine extra Festplatte auslagern, damit nicht deine Systemplatte in kurzer Zeit den Geist aufgibt.
Mal davon ab scheint dein System für dein Vorhaben unter dimensioniert zu sein
das haben wir doch schon festgestellt.
ich glaube die apu's haben maximal 4GB ram.
Das scheint mir etwas aufwendiger zu sein, als einfach nur ein Häckchen in der Webgui zu setzen. Gibts dazu einer Anleitung zur Auslagerung? Mir macht es nix aus, dass es langsamer läuft, hauptsache suricata deaktiviert sich nicht. Ich streame höchstens Musik als Privatanwender und da hat es bisher wenig bis kein Problem gegeben. Da muss ich sicher über die Serialverbindung und über die Commandline gehen. Ich glaub ich gucke, dass ich die Platte irgendwie geklont bekomme. Im Moment Scheinen 4 GB jedenfalls zu reichen (im Durchschnitt 3 GB Ram Verbrauch, ca 60 % CPU Auslastung bei 72.6 °Ĉ). Hat jemand Erfahrung mit der Angelegenheit?
backup der konfig und dann die kiste neu aufsetzen danach die gesicherte konfig neu einlesen
Quote from: Bogotrax on December 29, 2021, 05:35:09 PM
hauptsache suricata deaktiviert sich nicht. Ich streame höchstens Musik als Privatanwender und da hat es bisher wenig bis kein Problem gegeben.
Kenne dein Netz zwar nicht.
Aber wenn du hauptsächlich nur Musik Streamst sehe ich da jetzt keinen Grund für Suricata.
Warum glaubst du denn, dass du es unbedingt benötigst?
Gesendet von meinem M2012K11AG mit Tapatalk
In welchen Fällen siehst du denn eine Notwendigkeit?
Ich nutze WebRTC basierende Anwendungen in einer ansonsten mittelmäßig abgesicherten Umgebung und benötige mehr Informationen was da durchgeht, ohne WebRTC gleich dicht zu machen. Da ist mir jede Hilfe recht und billig.
Und ich lerne die Funktionen der Opensense-Umgebung gerne näher kennen. Softwareseitig habe ich bisher nichts gefunden, was entsprechend filtert bzw. kenne ich mich zu wenig aus.
@ micneu Dann werd ich mich demnächst ans Backup machen.
Quote from: Bogotrax on December 29, 2021, 08:58:11 PM
In welchen Fällen siehst du denn eine Notwendigkeit?
Ich nutze WebRTC basierende Anwendungen in einer ansonsten mittelmäßig abgesicherten Umgebung und benötige mehr Informationen was da durchgeht, ohne WebRTC gleich dicht zu machen. Da ist mir jede Hilfe recht und billig.
Und ich lerne die Funktionen der Opensense-Umgebung gerne näher kennen. Softwareseitig habe ich bisher nichts gefunden, was entsprechend filtert bzw. kenne ich mich zu wenig aus.
@ micneu Dann werd ich mich demnächst ans Backup machen.
Was für WebRTC Anwendungen denn?
Bekannte Anbieter die Ihre Sicherheit halbwegs im Griff haben und mit einem guten Internet Browser?
Da sollte der Angriffsvektor ja doch recht klein sein.
Mal davon ab ist es auch dann verschlüsselter Traffic wo Suricata nicht reinschauen kann.
Gesendet von meinem M2012K11AG mit Tapatalk
Wieder was dazugelernt.