OPNsense Forum

International Forums => German - Deutsch => Topic started by: Reiter der OPNsense on April 08, 2019, 07:08:17 pm

Title: [Solved] Suricata will nicht mit URLhaus?
Post by: Reiter der OPNsense on April 08, 2019, 07:08:17 pm
Hallo Leute,
ich beschäftige mich gerade zum ersten Mal mit Suricata auf einer APU2 von PC Engines mit OPNsense 19.1.5_1 drauf.

Der Test mit dem Regelset OPNsense-App-detect/test funktioniert (WAN, Hyperscan, IPS, Alert und Drop). Die Eicar-Signatur wird erkannt, blockiert und unter Alarms erscheint ein entsprechender Eintrag.

Wenn ich das Regelset abuse.ch/URLhaus aktiviere und nach dem rule reload complete eine verseuchte Datei herunterlade (z. B. https://urlhaus.abuse.ch/url/1227/), dann wird diese URL vom IPS durchgelassen und es erscheint kein Eintrag unter Alarms.

Ich habe es auch mal nur im IDS-Modus und mit der LAN-Schnittstelle (IGB1) im promiscuous mode (wegen VLANs) versucht. Verhält sich auch nicht anders.

Funktioniert bei euch Suricata mit URLhaus?

Nach einem Reboot steht folgendes im Log:
Code: [Select]
suricata: [100237] <Notice> -- all 5 packet processing threads, 4 management threads initialized, engine started.
suricata: [100237] <Warning> -- [ERRCODE: SC_WARN_DEFAULT_WILL_CHANGE(317)] - in 5.0 the default for decoder event stats will go from 'decoder.<proto>.<event>' to 'decoder.event.<proto>.<event>'. See ticket #2225. To suppress this message, set stats.decoder-events-prefix in the yaml.
suricata: [100135] <Notice> -- This is Suricata version 4.1.3 RELEASE
Title: Re: Suricata will nicht mit URLhaus?
Post by: chemlud on April 08, 2019, 08:36:18 pm
Hier Aho-Corasick, ergibt

Code: [Select]
2019-04-08T20:34:36.761324+0200 blocked iNET 10.0.0.5 52820 72.4.146.187 80 URLhaus Known malware download URL detected
2019-04-08T20:34:36.761324+0200 blocked iNET 10.0.0.5 52820 72.4.146.187 80 URLhaus Known malware downlo...
mit 19.1.5-lastest von heute morgen.
Title: Re: Suricata will nicht mit URLhaus?
Post by: Meditux on April 08, 2019, 09:39:48 pm
Hi Chemlud,

wo ist die "mit 19.1.5-lastest von heute morgen." denn zu finden?

Gruß Meditux
Title: Re: Suricata will nicht mit URLhaus?
Post by: chemlud on April 09, 2019, 09:32:55 am
Wollte damit nur andeuten, dass ich das System gestern morgen von 19.1.4 auf 19.1.5 upgedatet habe ;-)
Title: Re: Suricata will nicht mit URLhaus?
Post by: Reiter der OPNsense on April 09, 2019, 01:02:35 pm
Vielen Dank, chemlud.
Hab’s jetzt noch mit Aho-Corasick versucht. Verhält sich genau gleich.
Irgendwelche Ideen an was das liegen könnte oder wie ich der Ursache auf die Spur kommen könnte?
Title: Re: Suricata will nicht mit URLhaus?
Post by: chemlud on April 09, 2019, 01:16:18 pm
Schwierig. Ich hab "Promiscuous mode" enabled, diverse Snort Regelset aktiviert, mehrere Interfaces aktiv, aber ich sehe nicht wirklich, was da den Unterschied zu deinem Setup ausmacht. Ich habe Intel (igb) Interfaces intern, em als WAN....

Title: Re: Suricata will nicht mit URLhaus?
Post by: Reiter der OPNsense on April 10, 2019, 10:44:32 am
Jetzt geht es auf einmal. An was es genau lag weiss ich nicht.
In jedem Fall muss man nach einer Konfigänderungen immer schön geduldig warten, bis folgendes im LOG auftaucht:
Code: [Select]
suricata: [100145] <Notice> -- all [X] packet processing threads, [X] management threads initialized, engine started.Und nach einer Regeländerung:
Code: [Select]
suricata: [100145] <Notice> -- rule reload starting
URLhaus greift nicht auf WAN, sondern nur auf dem Interface auf welchem die URL aufgerufen wird, bei mir IGB1.

Was mir auch noch aufgefallen ist: Bei Konfigänderungen haut es auf meiner Box oft die WAN-IP raus. Das Gateway ist dann offline. Nur IPv4, die IPv6 überlebt's. Das passiert aber auch ca. bei jedem dritten Neustart. Auch schon vor aktiviertem Suricata.

Konfiguration als Referenz:

Interfaces: Settings
Hardware CRC[X] Disable
Hardware TSO[X] Disable
Hardware LRO[X] Disable
VLAN Hardware Filtering[Disable VLAN Hardware Filtering] (Wenn VLAN im Einsatz)

Services: Intrusion Detection: Administration
Enabled[X]
IPS mode[X]
Promiscuous mode[X] (Wenn VLAN im Einsatz)
Pattern matcher[Hyperscan]
Interfaces[IGB1, WAN]
Home networks[private IPv6-Netzwerke zusätzlich eintragen]