Topics

1

German - Deutsch / SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?

« on: November 04, 2018, 09:02:04 am »

Hallo zusammen,
ich habe seit Ende August 2018, also ziemlich seit Inbetriebnahme meiner OPNsense-Box, Suricata aktiviert.
Dazu habe ich die Option "Enable syslog alerts" aktiviert.

Mein Verständnis ist, dass dadurch alle Suricata Alerts in '/var/log/suricata.log' erscheinen.
Bereits vor einiger Zeit und heute bin ich aber mal in der Web-GUI die Alerts unter 'Services: Intrusion Detection: Administration: Alerts' durchgegangen und stellte fest, dass dort Meldungen erscheinen, die in '/var/log/suricata.log' nicht erscheinen.
 
Nachfolgend zwei Beispiele von IPS-Signatur Alerts, die sich nicht im '/var/log/suricata.log' File befinden:
 
Timestamp    2018-11-03T20:06:29.669191+0100
Alert    ET TROJAN [PTsecurity] Malicious SSL connection (Upatre Downloader CnC) cert
Alert sid    2024772
Protocol    TCP
Source IP    149.126.4.32
Destination IP    192.168.xx.xxx
Source port    443
Destination port    44019
Interface    FRITZBOX
Configured action      Enabled / Drop


Timestamp    2018-11-03T12:14:24.407028+0100
Alert    ET TROJAN Zberp receiving config via image file - SET
Alert sid    2021381
Protocol    TCP
Source IP    192.168.xx.xxx
Destination IP    217.175.192.2
Source port    5667
Destination port    80
Interface    LAN
Configured action      Enabled / Drop


Any Ideas?

2

German - Deutsch / suricata - Whitelisting von IPs möglich?

« on: August 29, 2018, 11:25:31 am »

Ja hallo erstmal,

ich bin der t00r und neu in der OPNsense Welt.

Ich habe mir meine OPNsense-Firewall seit letzter Woche frisch eingerichtet, so Step-for-Step.

Hinter der Firewall hängt eine FritzBox 7490 in einer eigenen DMZ, die WLAN und VoIP für die Benutzer hier macht (kleines Home-Netzwerk).
Die Fritze hängt deswegen hinter der Firewall, um sie vor den Bedrohungen aus dem Internet zu schützen, bspw. SIPvicious u. ä.
Das wollte ich schon laaaaange umsetzen!
Denn ich bin zwar großer AVM-Fan - habe bspw. schon deren ISDN Fritz!-Karten seit 199x genutzt - aber in letzter Zeit... naja... habe nicht mehr so ein gutes Gefühl wie früher... kenntihrja...

Die Einrichtung war mit Hilfe dieses großartigen Forums (über Google-Suche) erheblich möglich, denn die OPNsense Hilfe selbst ist z. T. etwas dürftig, aber trotzdem super gemacht.

Es läuft auch alles sehr gut soweit!   

Doch jetzt kommen die kleinen Fragen, zu denen ich einfach nichts gescheites als Antwort finde.

Naja, jedenfalls habe ich mir nach dieser Anleitung
https://forum.opnsense.org/index.php?topic=6893.0 Fast and easy way to protect your home and/or small office network with OPNsense
suricata aktiviert.

Frage:
Ich möchte unter anderem unten stehenden Meldungen (aus  /var/log/suricata.log, habe das eingeschaltet) gerne Whitelisten, denn es handelt sich um regulären Datenverkehr. Aber die IPS-Signatur möchte ich beibehalten.
Am liebsten wäre es mir, wenn dieser Datenverkher erst gar nicht von suricata geprüft wird.

Geht das ohne großen Aufwand?

Freue mich auf Eure Antworten! 

Code: [Select]

Aug 29 11:00:03 fw suricata[69634]: [1:2018904:6] ET INFO Session Traversal Utilities for NAT (STUN Binding Request obsolete rfc 3489 CHANGE-REQUEST attribute change IP flag false change port flag false) [Classification: Generic Protocol Command Decode] [Priority: 3] {UDP} FRITZBOX_IP$:5060 -> 212.227.67.33:3478
Aug 29 11:00:03 fw suricata[69634]: [1:2018908:2] ET INFO Session Traversal Utilities for NAT (STUN Binding Response) [Classification: Generic Protocol Command Decode] [Priority: 3] {UDP} 212.227.67.33:3478 -> FRITZBOX_IP$:5060
Aug 29 11:00:57 fw suricata[69634]: [1:2018904:6] ET INFO Session Traversal Utilities for NAT (STUN Binding Request obsolete rfc 3489 CHANGE-REQUEST attribute change IP flag false change port flag false) [Classification: Generic Protocol Command Decode] [Priority: 3] {UDP} FRITZBOX_IP$:5060 -> 217.10.68.152:3478
Aug 29 11:00:57 fw suricata[69634]: [1:2018908:2] ET INFO Session Traversal Utilities for NAT (STUN Binding Response) [Classification: Generic Protocol Command Decode] [Priority: 3] {UDP} 217.10.68.152:3478 -> FRITZBOX_IP$:5060