OPNsense Forum
International Forums => German - Deutsch => Topic started by: t00r on November 04, 2018, 09:02:04 am
-
Hallo zusammen,
ich habe seit Ende August 2018, also ziemlich seit Inbetriebnahme meiner OPNsense-Box, Suricata aktiviert.
Dazu habe ich die Option "Enable syslog alerts" aktiviert.
Mein Verständnis ist, dass dadurch alle Suricata Alerts in '/var/log/suricata.log' erscheinen.
Bereits vor einiger Zeit und heute bin ich aber mal in der Web-GUI die Alerts unter 'Services: Intrusion Detection: Administration: Alerts' durchgegangen und stellte fest, dass dort Meldungen erscheinen, die in '/var/log/suricata.log' nicht erscheinen.
Nachfolgend zwei Beispiele von IPS-Signatur Alerts, die sich nicht im '/var/log/suricata.log' File befinden:
Timestamp 2018-11-03T20:06:29.669191+0100
Alert ET TROJAN [PTsecurity] Malicious SSL connection (Upatre Downloader CnC) cert
Alert sid 2024772
Protocol TCP
Source IP 149.126.4.32
Destination IP 192.168.xx.xxx
Source port 443
Destination port 44019
Interface FRITZBOX
Configured action Enabled / Drop
Timestamp 2018-11-03T12:14:24.407028+0100
Alert ET TROJAN Zberp receiving config via image file - SET
Alert sid 2021381
Protocol TCP
Source IP 192.168.xx.xxx
Destination IP 217.175.192.2
Source port 5667
Destination port 80
Interface LAN
Configured action Enabled / Drop
Any Ideas?
-
Hallöchen,
Klingt nach:
https://github.com/opnsense/core/issues/2809
Die Vermutung ist dass UDP Pakete zu gross sind und dann nicht übertragen werden.
Sollte das der Fall sein bleibt nur ein Umstieg auf syslog-ng als Quelle von der OPNsense hin zur Senke.
Ich frage aber auch die Suricata-Entwickler übernächste Woche ob da noch was einzustellen / korrigieren ist.
Grüsse
Franco
-
Kleiner Nachtrag, um Missverständnissen vorzubeugen:
ich habe keinen Syslog-Server laufen, an den die Einträge geschickt werden.Sondern ich meine das *lokale* '/var/log/suricata.log' File.
-
Hallo toor,
Danke für die Info. Das macht es noch schwieriger. Nach etwas Suricata-Quellcode lesen hab ich nur noch folgende Idee:
https://github.com/opnsense/core/commit/a83e72acf1e
Zu installieren über:
# opnsense-patch a83e72acf1e
Und dann auf Intrusion Detection: Apply klicken.
Danke
Franco
-
Hallo franco,
Habe den Patch heute morgen eingespielt und behalte das die nächsten Tage im Auge; gebe dann wieder hier Rückmeldung.
Aber der hier wurde wieder nicht lokal in ' /var/log/suricata.log' angezeigt:
Alert info
Timestamp 2018-11-12T12:51:41.973979+0100
Alert ET TROJAN Zberp receiving config via image file - SET
Alert sid 2021381
Protocol TCP
Source IP 192.168.xx.xxx
Destination IP 217.160.122.62
Source port 6487
Destination port 80
Interface LAN
Configured action Enabled / Drop
-
Guten Morgen Franco,
Guten Morgen zusammen,
wollte Rückmeldung geben:
Die unten stehende IPS-Signatur ist eben über 200-mal im Web-GUI Alert-Log aufgetaucht, jedoch nicht lokal in ' /var/log/suricata.log'.
2018-11-17T09:30:22.239741+0100
Alert ET TROJAN [PTsecurity] Malicious SSL connection (Upatre Downloader CnC) cert
Alert sid 2024772
Protocol TCP
Source IP 149.126.4.32
Destination IP 192.168.30.100
Source port 443
Destination port 38323
Interface FRITZBOX
Configured action Enabled / Drop
Noch ein Hinweis:
Die IPS-Signatur hat auch keinen Payload (denn ich habe dies aktiviert, siehe meine Settings unten), denn sie sagt im Endeffekt nur, dass der Aufruf gefährlich ist.
Die in meiner vorherigen Mail genannte IPS-Signatur 2021381 ("ET TROJAN Zberp receiving config via image file - SET") hat auch keinen Payload.
Hier noch meine IPS-Settings:
Enabled: X
IPS mode: X
Promiscuous mode: X
Enable syslog alerts: X
Pattern matcher: Hyperscan
Interfaces: WAN , LAN , DMZ , FRITZBOX
Rotate log: Weekly
Save logs: 4
PS: Nicht wundern, warum die Firewall über 200 dieser Meldungen hat. Auf dem Server des Providers sind viele Kunden gehostet, einige davon haben wohl Malware in Umlauf gebracht, wir rufen hier nur den "guten" Kunden auf :-). Der Provider selbst erscheint mir auf den ersten Blick seriös.
-
Ich frag mal bei den Suricata Devs nach...
Grüsse
Franco
-
Das wäre toll!
Viele Grüße toor