Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?
« previous
next »
Print
Pages: [
1
]
Author
Topic: SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen? (Read 4074 times)
t00r
Newbie
Posts: 27
Karma: 1
SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?
«
on:
November 04, 2018, 09:02:04 am »
Hallo zusammen,
ich habe seit Ende August 2018, also ziemlich seit Inbetriebnahme meiner OPNsense-Box, Suricata aktiviert.
Dazu habe ich die Option "Enable syslog alerts" aktiviert.
Mein Verständnis ist, dass dadurch alle Suricata Alerts in '/var/log/suricata.log' erscheinen.
Bereits vor einiger Zeit und heute bin ich aber mal in der Web-GUI die Alerts unter 'Services: Intrusion Detection: Administration: Alerts' durchgegangen und stellte fest, dass dort Meldungen erscheinen, die in '/var/log/suricata.log' nicht erscheinen.
Nachfolgend zwei Beispiele von IPS-Signatur Alerts, die sich nicht im '/var/log/suricata.log' File befinden:
Timestamp 2018-11-03T20:06:29.669191+0100
Alert ET TROJAN [PTsecurity] Malicious SSL connection (Upatre Downloader CnC) cert
Alert sid 2024772
Protocol TCP
Source IP 149.126.4.32
Destination IP 192.168.xx.xxx
Source port 443
Destination port 44019
Interface FRITZBOX
Configured action Enabled / Drop
Timestamp 2018-11-03T12:14:24.407028+0100
Alert ET TROJAN Zberp receiving config via image file - SET
Alert sid 2021381
Protocol TCP
Source IP 192.168.xx.xxx
Destination IP 217.175.192.2
Source port 5667
Destination port 80
Interface LAN
Configured action Enabled / Drop
Any Ideas?
«
Last Edit: November 04, 2018, 09:20:35 am by t00r
»
Logged
OS: OPNsense 18.7.9-amd64
HW: HP t620 PLUS Thin Client (F0U83EA) / AMD GX-420CA SOC with Radeon HD Graphics (4 cores) / 4GB RAM, INTEL i350-T4 1G Quad Port Ethernet Adapter (I350T4G2P20), WD Green SSD 120GB M.2 2280 SATA B-M-Key 6GBs (WDS120G2G0B)
Internet: 1und1 VDSL 50 Mbit
VoIP: 1und1 und Sipgate
franco
Administrator
Hero Member
Posts: 17669
Karma: 1612
Re: SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?
«
Reply #1 on:
November 04, 2018, 07:14:26 pm »
Hallöchen,
Klingt nach:
https://github.com/opnsense/core/issues/2809
Die Vermutung ist dass UDP Pakete zu gross sind und dann nicht übertragen werden.
Sollte das der Fall sein bleibt nur ein Umstieg auf syslog-ng als Quelle von der OPNsense hin zur Senke.
Ich frage aber auch die Suricata-Entwickler übernächste Woche ob da noch was einzustellen / korrigieren ist.
Grüsse
Franco
Logged
t00r
Newbie
Posts: 27
Karma: 1
Re: SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?
«
Reply #2 on:
November 08, 2018, 07:12:56 pm »
Kleiner Nachtrag, um Missverständnissen vorzubeugen:
ich habe keinen Syslog-Server laufen, an den die Einträge geschickt werden.Sondern ich meine das *lokale* '/var/log/suricata.log' File.
Logged
OS: OPNsense 18.7.9-amd64
HW: HP t620 PLUS Thin Client (F0U83EA) / AMD GX-420CA SOC with Radeon HD Graphics (4 cores) / 4GB RAM, INTEL i350-T4 1G Quad Port Ethernet Adapter (I350T4G2P20), WD Green SSD 120GB M.2 2280 SATA B-M-Key 6GBs (WDS120G2G0B)
Internet: 1und1 VDSL 50 Mbit
VoIP: 1und1 und Sipgate
franco
Administrator
Hero Member
Posts: 17669
Karma: 1612
Re: SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?
«
Reply #3 on:
November 09, 2018, 08:19:08 am »
Hallo toor,
Danke für die Info. Das macht es noch schwieriger. Nach etwas Suricata-Quellcode lesen hab ich nur noch folgende Idee:
https://github.com/opnsense/core/commit/a83e72acf1e
Zu installieren über:
# opnsense-patch a83e72acf1e
Und dann auf Intrusion Detection: Apply klicken.
Danke
Franco
Logged
t00r
Newbie
Posts: 27
Karma: 1
Re: SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?
«
Reply #4 on:
November 12, 2018, 02:35:30 pm »
Hallo franco,
Habe den Patch heute morgen eingespielt und behalte das die nächsten Tage im Auge; gebe dann wieder hier Rückmeldung.
Aber der hier wurde wieder nicht lokal in ' /var/log/suricata.log' angezeigt:
Alert info
Timestamp 2018-11-12T12:51:41.973979+0100
Alert ET TROJAN Zberp receiving config via image file - SET
Alert sid 2021381
Protocol TCP
Source IP 192.168.xx.xxx
Destination IP 217.160.122.62
Source port 6487
Destination port 80
Interface LAN
Configured action Enabled / Drop
«
Last Edit: November 12, 2018, 02:40:01 pm by t00r
»
Logged
OS: OPNsense 18.7.9-amd64
HW: HP t620 PLUS Thin Client (F0U83EA) / AMD GX-420CA SOC with Radeon HD Graphics (4 cores) / 4GB RAM, INTEL i350-T4 1G Quad Port Ethernet Adapter (I350T4G2P20), WD Green SSD 120GB M.2 2280 SATA B-M-Key 6GBs (WDS120G2G0B)
Internet: 1und1 VDSL 50 Mbit
VoIP: 1und1 und Sipgate
t00r
Newbie
Posts: 27
Karma: 1
Re: SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?
«
Reply #5 on:
November 17, 2018, 09:39:01 am »
Guten Morgen Franco,
Guten Morgen zusammen,
wollte Rückmeldung geben:
Die unten stehende IPS-Signatur ist eben über 200-mal im Web-GUI Alert-Log aufgetaucht, jedoch nicht lokal in ' /var/log/suricata.log'.
2018-11-17T09:30:22.239741+0100
Alert ET TROJAN [PTsecurity] Malicious SSL connection (Upatre Downloader CnC) cert
Alert sid 2024772
Protocol TCP
Source IP 149.126.4.32
Destination IP 192.168.30.100
Source port 443
Destination port 38323
Interface FRITZBOX
Configured action Enabled / Drop
Noch ein Hinweis:
Die IPS-Signatur hat auch keinen Payload (denn ich habe dies aktiviert, siehe meine Settings unten), denn sie sagt im Endeffekt nur, dass der Aufruf gefährlich ist.
Die in meiner vorherigen Mail genannte IPS-Signatur 2021381 ("ET TROJAN Zberp receiving config via image file - SET") hat auch keinen Payload.
Hier noch meine IPS-Settings:
Enabled: X
IPS mode: X
Promiscuous mode: X
Enable syslog alerts: X
Pattern matcher: Hyperscan
Interfaces: WAN , LAN , DMZ , FRITZBOX
Rotate log: Weekly
Save logs: 4
PS: Nicht wundern, warum die Firewall über 200 dieser Meldungen hat. Auf dem Server des Providers sind viele Kunden gehostet, einige davon haben wohl Malware in Umlauf gebracht, wir rufen hier nur den "guten" Kunden auf :-). Der Provider selbst erscheint mir auf den ersten Blick seriös.
«
Last Edit: November 17, 2018, 09:54:48 am by t00r
»
Logged
OS: OPNsense 18.7.9-amd64
HW: HP t620 PLUS Thin Client (F0U83EA) / AMD GX-420CA SOC with Radeon HD Graphics (4 cores) / 4GB RAM, INTEL i350-T4 1G Quad Port Ethernet Adapter (I350T4G2P20), WD Green SSD 120GB M.2 2280 SATA B-M-Key 6GBs (WDS120G2G0B)
Internet: 1und1 VDSL 50 Mbit
VoIP: 1und1 und Sipgate
franco
Administrator
Hero Member
Posts: 17669
Karma: 1612
Re: SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?
«
Reply #6 on:
November 20, 2018, 07:06:53 am »
Ich frag mal bei den Suricata Devs nach...
Grüsse
Franco
Logged
t00r
Newbie
Posts: 27
Karma: 1
Re: SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?
«
Reply #7 on:
November 20, 2018, 09:09:41 am »
Das wäre toll!
Viele Grüße toor
Logged
OS: OPNsense 18.7.9-amd64
HW: HP t620 PLUS Thin Client (F0U83EA) / AMD GX-420CA SOC with Radeon HD Graphics (4 cores) / 4GB RAM, INTEL i350-T4 1G Quad Port Ethernet Adapter (I350T4G2P20), WD Green SSD 120GB M.2 2280 SATA B-M-Key 6GBs (WDS120G2G0B)
Internet: 1und1 VDSL 50 Mbit
VoIP: 1und1 und Sipgate
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?