Messages

Du meinst einen Auszug, denke ich? So etwa:

Code Select Expand

2021 Sep 21 05:56:48 wazuh-manager->/var/log/messages Sep 21 05:56:47 wazuh-manager filebeat: 2021-09-21T05:56:47.326Z#011INFO#011[monitoring]#011log/log.go:145#011Non-zero metrics in the last 30s#011{"monitoring": {"metrics": {"beat":{"cpu":{"system":{"ticks":39260,"time":{"ms":6}},"total":{"ticks":87530,"time":{"ms":8},"value":87530},"user":{"ticks":48270,"time":{"ms":2}}},"handles":{"limit":{"hard":4096,"soft":1024},"open":11},"info":{"ephemeral_id":"50df92a3-a3a5-4e0a-be4a-caaf05121e87","uptime":{"ms":215970339}},"memstats":{"gc_next":8060000,"memory_alloc":4805752,"memory_total":2688033712},"runtime":{"goroutines":25}},"filebeat":{"harvester":{"open_files":1,"running":1}},"libbeat":{"config":{"module":{"running":0}},"pipeline":{"clients":1,"events":{"active":0}}},"registrar":{"states":{"current":1}},"system":{"load":{"1":0.01,"15":0.05,"5":0.02,"norm":{"1":0.0006,"15":0.0031,"5":0.0013}}}}}}
2021 Sep 21 05:56:48 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:32 OPNsense.localserver-berlin.de filterlog[62075]: 113,,,b076000b7efad0d8ce25adbcb1bc0004,igb3,match,block,in,4,0x68,,64,4517,0,DF,17,udp,744,192.168.100.230,10.0.0.4,5065,5060,724
2021 Sep 21 05:56:49 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:33 OPNsense.localserver-berlin.de filterlog[62075]: 113,,,b076000b7efad0d8ce25adbcb1bc0004,igb3,match,block,in,4,0xe0,,1,26002,0,none,17,udp,351,192.168.100.242,224.0.0.251,5353,5353,331
2021 Sep 21 05:56:50 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:34 OPNsense.localserver-berlin.de filterlog[62075]: 113,,,b076000b7efad0d8ce25adbcb1bc0004,igb3,match,block,in,4,0x68,,64,4662,0,DF,17,udp,744,192.168.100.230,10.0.0.4,5065,5060,724
2021 Sep 21 05:56:51 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:35 OPNsense.localserver-berlin.de filterlog[62075]: 113,,,b076000b7efad0d8ce25adbcb1bc0004,igb3,match,block,in,4,0x68,,64,4691,0,DF,17,udp,746,192.168.100.230,10.0.0.4,5065,5060,726
2021 Sep 21 05:56:52 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:36 OPNsense.localserver-berlin.de suricata[53565]: {"timestamp": "2021-09-21T07:56:36.203646+0200", "flow_id": 196204642704802, "in_iface": "igb3", "event_type": "alert", "src_ip": "192.168.100.10", "src_port": 60057, "dest_ip": "192.168.100.1", "dest_port": 53, "proto": "UDP", "tx_id": 56, "alert": {"action": "allowed", "gid": 1, "signature_id": 2023883, "rev": 2, "signature": "ET DNS Query to a *.top domain - Likely Hostile", "category": "Potentially Bad Traffic", "severity": 2, "metadata": {"updated_at": ["2020_09_15"], "signature_severity": ["Major"], "deployment": ["Perimeter"], "created_at": ["2017_02_07"], "attack_target": ["Client_Endpoint"], "affected_product": ["Windows_XP_Vista_7_8_10_Server_32_64_Bit"]}}, "dns": {"query": [{"type": "query", "id": 54558, "rrname": "regulationprivilegescan.top", "rrtype": "A", "tx_id": 56}]}, "app_proto": "dns", "flow": {"pkts_toserver": 29, "pkts_toclient": 28, "bytes_toserver": 2279, "bytes_toclient": 3863, "start": "2021-09-21T07:56:24.138658+0200"}, "payload_printable": ".............regulationprivilegescan.top.....", "stream": 0}
2021 Sep 21 05:56:52 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:36 OPNsense.localserver-berlin.de suricata[53565]: [1:2023883:2] ET DNS Query to a *.top domain - Likely Hostile [Classification: Potentially Bad Traffic] [Priority: 2] {UDP} 192.168.100.10:60057 -> 192.168.100.1:53
2021 Sep 21 05:56:54 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:38 OPNsense.localserver-berlin.de filterlog[62075]: 113,,,b076000b7efad0d8ce25adbcb1bc0004,igb3,match,block,in,4,0xe0,,1,47329,0,none,17,udp,351,192.168.100.242,224.0.0.251,5353,5353,331
2021 Sep 21 05:56:54 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:38 OPNsense.localserver-berlin.de filterlog[62075]: 113,,,b076000b7efad0d8ce25adbcb1bc0004,igb3,match,block,in,4,0x0,,1,18811,0,DF,17,udp,32,192.168.100.246,233.89.188.1,10001,10001,12

Ich verstehe ein wenig, vielen Dank für den Tipp. Im Log finde ich dann alle Ereignisse, und es wächst ganz schön schnell.  :)

Mir ist noch nicht so ganz klar wie es mit dem Decodieren geht.

https://documentation.wazuh.com/current/learning-wazuh/suricata.html

Demnach müsste ich sowohl auf der Quelle (OPNsense) als auch auf dem Wazuh-Server Suricata installieren... vermutlich in meinem Fall nicht auf der Quelle, weil ich keinen Wazuh-Agent benutze, sondern nur auf dem Ziel. Aber ist das wirklich richtig verstanden - ich muss auf dem Wazuh-Server Suricata installieren? Kommt mir merkwürdig vor, bin ich auf dem Holzweg?

Bin ich irgendwie richtig, wenn ich annehme, dass danach zwei Schritte erforderlich sind:

Decoder wie hier beschrieben:

https://documentation.wazuh.com/current/user-manual/ruleset/json-decoder.html

Ruleset in diesen Dateien:

https://documentation.wazuh.com/current/user-manual/ruleset/custom.html

Trotz der umfangreichen Docs auf Wazuh habe ich das Gefühl, gerade nicht weiter zu kommen. Nur so eine Ahnung: Die vorgefertigten Funktionen für Suricata kann ich nicht nutzen, so lange ich Syslog verwende und keinen Wazuh-Agent. Zumindest bezüglich Decoder; wenn ich da weiter bin, könnten die Suricata-Rulesets greifen.

Hallo,

hat hier jemand Erfahrung mit Wazuh und OPNsense bzw. Suricata?

Ich möchte zunächst einmal die Logs von OPNsense bzw. Suricata via Syslog an einen Wazuh-Server übertragen. Später kommt dann möglicherweise der Wazuh-Agent auf die OPNsense, aber klein anfangen...

Ich glaube, ich verstehe das Konzept von Wazuh noch nicht.

Die OPNsense-Logs übertrage ich im Augenblick parallel an einen einfachen-Syslog-Server und an die Wazuh-Installation.

Wazuh habe ich per All-in-one-OVA-Paket installiert. Weiter habe ich noch nicht viel konfiguriert, nur mal einen Windows-PC mit dem Agenten versehen. Da kommt jede Menge an Daten bei Wazuh an. prima.

Dann habe ich auf dem Wazuh-Server den Syslog-Empfang aktiviert:

https://wazuh.com/blog/how-to-configure-rsyslog-client-to-send-events-to-wazuh/

Datei /var/ossec/etc/ossec.conf:
<remote>
  <connection>syslog</connection>
  <port>514</port>
  <protocol>udp</protocol>
  <allowed-ips>8.18.2.93/32</allowed-ips>
  <local_ip>14.7.1.11</local_ip>
</remote>

Tja, und jetzt finde ich unter Kibana -> Discover teilweise (gefühlt unvollständige) Log-Einträge von der OPNsense. Ich habe dort aber noch keinen einzigen Eintrag von Suricata entdecken können.

Der einfache externe Syslog-Server zeigt dagegen jede Menge Einträge, sowohl OPNsense-Systemmeldungen und Firewall-Blocks als auch Suricata-Einträge.

Die OPNsense-Logging/Targets-Einträge sind identisch, nämlich auf "alles" konfiguriert.

Filtert Wazuh da etwas? Muss man den "Eingang" dort noch konfigurieren? Aus den Docs bin ich noch nicht schlau geworden...

Gibt es irgendwo die "Rohdaten" bei Wazuh?

PS: Ich würde auch kostenpflichtigen Support in Anspruch nehmen - gerne per PM.

Viele Grüße
Oliver

Verstehe. Das bedeutet aber, dass der Betrieb nur ordentlich möglich ist, wenn die Außenstelle auch eine feste IP hat (oder man bastelt mit DynIP). Richtig?

Oh, Verständnisproblem. Hier die Lösung:

https://forum.opnsense.org/index.php?topic=24276.msg116203#msg116203

I would delete the following two directories (via SSH access):

Code Select Expand

/usr/local/etc/suricata/opnsense.rules
/usr/local/etc/suricata/rules

Then reboot and download again.

Ah, I see! That's what the official documentation says, but I hadn't looked that far because I always stumbled across the missing option before. Thanks for the tip!  :)

Bei mir steht nur die Außenstelle auf "sofort verbinden", weil die Außenstelle keine feste IP hat. Die Zentrale steht auf "Nur Antworten". Nach meinem Verständnis müsste das reichen, und so kenne ich es von anderen FWs auch.

Wenn ich die Zentrale für ein paar Minuten offline nehme, dann wählt sich die Außenstelle nicht mehr ein. Ich starte sie dann einfach neu. Aber schöner fände ich es, wenn die Außenstelle es einfach immer wieder neu versuchen würde, notfalls stundenlang, bis die Zentrale wieder erreichbar ist.

Hello,

I can't get Suricata into "Block" mode for the rulesets.

With a freshly set up OPNsense 21.7.1, I am not able to get the intrusion detection into IPS mode. The corresponding check mark under the settings is set. But I would now probably have to change the individual rule sets (and not each rule individually!) from Alert to Drop under the rule sets. I can find illustrations of this on the Internet; my installation seems to be missing an option.






Can anyone confirm this?

PS: Here is an illustration with the "Input Filter" line missing for me:



Best regards
Oliver

Hallo,

bei einer frisch aufgesetzten OPNsense 21.7.1 gelingt es mir nicht, die Einbruchserkennung in den IPS-Modus zu bekommen. Der Entsprechende Haken unter den Einstellungen ist gesetzt. Aber ich müsste nun wohl unter den Regelwerken die einzelnen Regelwerke (und nicht jede Regel einzeln) von Alert auf Drop umstellen. Dazu finde ich Abbildungen im Internet; bei meiner Installation scheint da eine Option zu fehlen.

Abbildungen anbei.

Kann das jemand bestätigen?

PS: Hier eine Abbildung mit der Zeile "Input Filter", die bei mir fehlt: https://homenetworkguy.com/how-to/configure-intrusion-detection-opnsense/opnsense-intrusion-detection-3.png

Viele Grüße
Oliver

Leider hat das nicht geholfen.

Wenn die Zentrale ein paar Minuten offline war, verbindet sich die Außenstelle nicht mehr automatisch. Ich starte also nach jedem Neustart der Zentrale ein paar Minuten später auch die Außenstelle neu.

Schön ist das nicht. Aber vielleicht ist es bei OPNsense einfach so.

Ich habe jetzt mal DPD auf geschaltet, weil ich in diesem Post fand, dass es daran liegen könnte:

https://forum.opnsense.org/index.php?topic=19799.msg91475#msg91475

Nachtrag: Problem könnte besonders dann auftauchen, wenn die Außenstelle aktualisiert wurde und neu startete und anschließend die Zentrale aktualisiert wurde und neu startete. Als ob die Außenstelle es nach ein paar Fehlversuchen (die Zentrale startet noch neu) aufgeben würde.

Wenn ich in der Außenstelle ein Netzlaufwerk auf dem Server in der Zentrale versuche zu öffnen, gelingt kein Zugriff. Der Haken in der IPsec-Statusübersicht in der Außenstelle bleibt orange. Wenn ich ihn anklicke, wird die Verbindung hergestellt.

Einstellungen in der Außenstelle sind diese:

Hallo,

ich habe bei einem Site-to-site-VPN zwischen zwei OPNsense 20.1.6 das Problem, dass der Tunnel nicht automatisch wieder aufgebaut wird, wenn ich die beiden Geräte neu starte.

Erhofft hätte ich mir, dass die aktive Seite nach ihrem Reboot so lange versucht, sich neu zu verbinden, bis die Gegenstelle wieder erreichbar ist, und dann eben die Verbindung herstellt. Tatsächlich muss ich auf Statusübersicht gehen und dort den orangenen Pfeil anklicken.

Auf der sich einwählenden Seite steht unter Anschlussart "Sofort starten".

Wo kann ich denn das Verhalten diesbezüglich beeinflussen?

Viele Grüße
Oliver

Hm, klingt logisch. Ich dachte, dass es irgendwie sehr schwierig sein müsste, aber welche Schwierigkeiten, wusste ich selbst nicht.

Mit diesem Hinweis, dass es prinzipiell geht und dass der Versuch also keine Zeitverschwendung ist, werde ich mich daran wagen.

Vielen Dank Dir!  :)