Messages

Hallo zusammen,

beim Erstellen eines beliebigen Benutzerzertifikats erscheint folgende Fehlermeldung:


Kennt jemand dieses Problem?

UPDATE: Das Problem war, dass das interne CA-Zertifikat keinen Pfad (DN) hatte.

Vielen Dank,
aquaman

Das IDS startet mittlerweile überhaupt nicht mehr (rotes Play-Icon).
Weiß jemand, wie ich das Problem lösen kann?

[ET POLICY PE EXE or DLL Windows file download]

Scheinbar braucht man einfach geduld, bis das IDS funktioniert.
Sobald ich eine Änderung an den Einstellungen vornehme dauert es eine bestimmte Zeit (10-30 Minuten), bis das IDS wieder funktioniert.

Beispiel:
Das IDS läuft und erkennt alle EICAR-Testdateien (HTTP). Jetzt hakt man IPS an und klickt "Anwenden". Das IDS erkennt die EICAR-Testdateien nicht mehr (kein Eintrag in der Alarmliste mehr) und lässt sie zu. Der Ladebalken bei "Anwenden" ist aber bereits durchgelaufen. Jetzt warte ich 10-30 Minuten und dann werden die Dateien erst geblockt. Soll das so sein?

ET POLICY PE EXE or DLL Windows file download wird auch nicht erkannt.

So langsam habe ich das Gefühl, das IDS hat ne Macke  :)

Der EICAR Testvirus wird ebenfalls nicht immer erkannt. Von 20 Versuchen hat es jetzt 1 mal geklappt, dass eine Meldung in der Alarmliste auftaucht. Nach einer gewissen Laufzeit des IDS erkennt er das EICAR-File häufiger oder sogar immer. Eine andere Regel, welche ich aktiviert habe (http://doc.emergingthreats.net/2000419) wird überhaupt nicht erkannt. Zum Test für diese Regel hatte ich eine exe-Datei von 7zip heruntergeladen.

Hat sonst noch jemand irgendwelche Ratschläge, um dem Fehler auf den Grund zu gehen?

PS: Ein kleiner Bug: Wenn man auf der IDS-Seite auf einen anderen Reiter (außer Einstellungen und Zeitplan) wechselt und dann anschließend zu Zeitplan und diesen dann schließt, ist der Reiter für Zeitplan verschwunden. Scheinbar wird die "Berechtigung" nur auf der Hauptseite der IDS-Konfiguration neu ausgewertet.

Lokal einfach einen HTTP Server starten. Dann die URL (von extern) eingeben und sich die 404 ansehen sollte reichen.
Die Verbindung ist ja sowieso "aufgebaut", da HTTP auf TCP aufbaut.

Aber generell ... ich bekomme nicht mal false-positives in der Alarmliste.

Nachdem ich die Logs gelöscht habe und die Regeln aktualisiert kamen keine neuen Logs mehr, waren wohl welche vor dem Update. Bin auf der neuesten Version (17.7.3).

wrong thread  :'(

Ich hoffe doch nicht, dass ein einzelner Signatur-Provider das IDS lahmlegen kann. :o Die Signatur die ich prüfen möchte ist von Emerging Threats.

/usr/local/etc/suricata/suricata.yaml sollte passen: HOME_NET: "[192.168.0.0/16]"

Suricata wird auch mit dem richtigen Interface und Config gestartet:
/usr/local/bin/suricata -D --pcap=xxx0 --pidfile /var/run/suricata.pid -c /usr/local/etc/suricata/suricata.yaml

In den Logs von Suricata (auch ganz interessant):
26/9/2017 -- 03:13:37 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "¾Ÿ Ïê.Ù««îZeb·"r$]" from file /usr/local/etc/suricata/opnsense.rules/abuse.ch.sslblacklist.rules at line 91

Mehrmals die Fehlermeldungen "error parsing signature" aber alle von "abuse.ch.sslblacklist.rules".

Habe das IDS-Interface kurz auf WAN gestellt, dann bekomme ich nur jede Menge "SURICATA zero length padN option" Alerts. Habe den HTTP-Request von außen an Port 80 geschickt (Port-Weiterleitung an WAN-Adresse:80 -> LAN-Adresse:80), die SQL-Attacke bleibt auch dort verborgen.

Hallo zusammen,

das Feature ist jetzt im neuen Release.
Das IDS erkennt den oben gennanten Angriff immernoch nicht.

Konfiguration:
IDS Home-Networks: 192.168.0.0/16
IDS Interface: LAN (ist ein 192.168.0.0/24)
Das externe Netzwerk ist ein 172.16.0.0/24

Zugriff auf ein System in 172.16.0.0/24 mit HTTP (kein HTTPS!):
http://172.16.0.1/foo.php?id=-1%20union%20select%201,table_name,3%20from%20information_schema.tables--%20-

PS: Sobald ich WAN und LAN als IDS Interface angebe, lädt der "Anwenden"-Button ewig/unendlich lange.

Danke+Grüße,
aquaman

Hallo zusammen,

nachdem die EEE-Funktion für das Energiesparen bei Netzwerkschnitstellen deaktiviert wurde, lief die OPNsense nach längerer Inaktvität immernoch super. Nach längerer Inaktivität ist jetzt die Web GUI nicht mehr erreichbar, auch das NAT/Routing funktioniert nicht. Der DHCP-Server der OPNsense vergibt mir allerdings noch eine IPv4-Adresse.

Gibt es eine Möglichkeit das Problem weiter einzugrenzen?

Danke & Grüße,
aquaman

[Update:]

Update: Log-Dateien komplett löschen (nicht nur den Inhalt) dann funktioniert es wieder.
Update 2: Nach dem Deaktivieren der EEE-Funktion freezed OPNsense nicht mehr.

Es handelt sich um folgendes Board: http://bit.ly/2vqXL1q

Hi franco,

die Tunables habe ich gesetzt, allerdings wurde nach "Apply changes" vom Browser (Chrome) angezeigt "Diese Webseite ist nicht erreichbar". Dann habe ich die Tunables nochmals aufgerufen und die Änderungen wurden scheinbar übernommen.

Jetzt hat sich nach folgender Aktion die Web-GUI der OPNsense verabschiedet:
Um die Log-Dateien zu verkleinern habe ich deren Inhalt gelöscht. Seitdem wird die Console mit filterlog-Einträgen geflutet und die Web-GUI reagiert nicht mehr (der Rest wie z.B. Routing funktioniert noch).

Kann man das Rückgängig machen?

Vielen Dank & Grüße,
aquaman

Hallo zusammen,

in Version 17.1 sowie 17.7 bin ich auf das Problem gestoßen, dass OPNsense bei langer Inaktivität einfriert.

Die Hardware hängt mit dem WAN Port an einem Switch, am LAN Port ist mein eigener Computer angeschlossen. Sobald am LAN-Port die Verbindung getrennt wird hängt OPNsense sich nach einer Inaktivität von 2 Tagen auf. Falls der LAN-Port innheralb von ~12-14 Stunden wieder aktiv wird, hängt sich OPNsense nicht auf.

In "/var/log/system.log" ist die letzte Meldung dementsprechend:

Code Select Expand

Aug 26 15:01:17 XYZ kernel: igb0: link state changed to DOWN
Aug 26 15:01:17 XYZ configd.py: [d34d833f-1337-4242-1312-5391337] Linkup stopping igb0
Aug 26 15:01:17 XYZ opnsense: /usr/local/etc/rc.linkup: DEVD Ethernet detached event for lan

Falls diese Informationen nicht genügen, werde ich die Debug-Informationen vom Monitor ablesen.
Aber wahrscheinlich war der Monitor beim Eintreten des Fehlers komplett schwarz.

Gibt es eine Möglichkeit die Ursache herauszufinden?

Vielen Dank & Grüße,
aquaman