Suricata zurücksetzen

Started by Nambis, March 01, 2022, 09:15:50 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 01, 2022, 09:15:50 PM Last Edit: March 01, 2022, 09:18:29 PM by Nambis
Guten Abend,

ich habe ein kleines Problem, bei der Konfiguration von Suricata ist mir ein Fehler unterlaufen, jetzt sind sämtliche bzw. alle Regeln aktiviert. Nach der Installation sind standardmäßig nur einige Regeln aktiviert, die Menge an Regeln richtet sich auch nach den heruntergeladenen Regelwerken "Rulesets".

Ich habe versucht alle zu makieren und zu deaktivieren, aber da bekommt man nur 1000 Stück pro Seite hin auf einen Schlag, bei mir sind es aktuell 50 Seiten und nach jeder Aktion habe ich eine Wartezeit von 1 bis 2 Minuten.

Eine Neuinstallation vom Suricata Paket war leider, was mein Problem betrifft, auch nicht von Erfolg gekrönt. Evtl. hat jemand von Euch eine Idee, wie nur Suricata und nicht das ganze System auf Werkseinstellungen zurückgesetzt werden kann?

Für Hilfe wäre ich sehr dankbar!

Im englischsprachigen Bereich habe ich ebenfalls die Frage gestellt, sorry für Doppel-Post an der Stelle, ich möchte es nur noch mal hier im deutschsprachigen Teil versuchen. -> https://forum.opnsense.org/index.php?topic=27224.0
March 01, 2022, 10:20:11 PM #1
So in's Blaue:

Im Download alles auswählen, dann disable selected. Sollte doch gehen.

LG Ralf
March 01, 2022, 10:30:09 PM #2
Hi,

das habe ich auch versucht, es wird bei Regeln dann nichts mehr angezeigt. Das Ziel ist es, den ausgangs Zustand von Suricata wieder herzustellen, quasi nur mit den vorselektierten Regeln zu arbeiten. Dies wird aber dadurch nicht erreicht, weil wenn wieder Regelsätze aktiviert werden, alle Regeln aus dem jeweiligen Regelsatz aktiv sind.

Ob Suricata und IDS/IPS überhaupt Sinn ergeben ist halt die andere Frage, ICAR Testviren zum Beispiel wurden auch nur bei HTTP und nicht bei HTTPS geblockt.

Gibt es hier Leute die am Interface von Suricata entwickeln? Falls ja, ein Button wäre super, mit dem ein Reset ermöglicht wird. =)

Dennoch Danke für deinen Vorschlag, LG.
March 01, 2022, 11:11:46 PM #3
Aber das war doch dein Ziel ,,keine Regeln". Es gibt keinen initialen Regelsatz.
Und dass suricata keinen verschlüsselten ICAR identifiziert liegt in der Natur der Sache.

Die Regeln sind anfangs immer leer. Ich verstehe nicht was du erreichen willst.

Ralf
March 01, 2022, 11:28:48 PM #4 Last Edit: March 02, 2022, 12:43:50 AM by Nambis
Moment, ich habe das jetzt noch mal in einer frisch installierten VM Umgebung probiert und siehe da (Bild was ich dir angehängt habe), nicht alle sind per Default aktiv ;-)

*rechts die Hacken

Mein Problem ist, dass egal, was ich mache, alle Regelsätze aktiv sind, unter dem Reiter "Regeln" und der Ausgangszustand, wie im ersten Post geschrieben, nicht wieder erreicht wird, siehe Anhang. Warum das jetzt so ist, weiß ich nicht, ich hatte nach einem Tutorial versucht unter "Creating a Policy" eine eigene Policy anzulegen.

-> https://homenetworkguy.com/how-to/configure-intrusion-detection-opnsense/
March 02, 2022, 01:23:41 AM #5
Poste mal deinen download screen,
Wenn du da alles aktiv hast sind die Regeln eben auch aktiv
March 02, 2022, 01:29:02 AM #6
Und ich gehe davon aus, dass du die 21.x hast, machma update auf 22.1
March 02, 2022, 01:49:47 AM #7 Last Edit: March 02, 2022, 02:00:38 AM by Nambis
Quote from: RalfG on March 02, 2022, 01:23:41 AM
Poste mal deinen download screen,
Wenn du da alles aktiv hast sind die Regeln eben auch aktiv

Eben nicht per Default, siehe mein Beispiel von der frisch aufgesetzten Opnsense (VM).
March 02, 2022, 01:50:27 AM #8 Last Edit: March 02, 2022, 01:53:05 AM by Nambis
Ich kann insgesamt nicht mehr als 256 KB hochladen.

Hier, die Liste geht durch, wie gesagt 1000 Einträge pro Seite ... bis Seite 100. Also 1000 * 100 Einträge.
March 02, 2022, 01:51:42 AM #9 Last Edit: March 02, 2022, 02:01:30 AM by Nambis
So, das sollten erstmal die Bilder sein, die du brauchst ... hoffe, du kannst damit was anfangen.

Anschließend wurde wieder alles deaktiviert...

Quote from: RalfG on March 02, 2022, 01:29:02 AM
Und ich gehe davon aus, dass du die 21.x hast, machma update auf 22.1

Nein, ist aktuell.
March 02, 2022, 05:42:22 PM #10
du hast das ja gar nicht übr die policies gesteuert?

Hau mal alle raus (Reiter Download), Alles auswählen, Disable selected, Save, Download & Update.

In den Policies Regel rein, Prio 0 Action Disable, Alert, Drop, New Action Drop, bzw. wenn du zuerst mal alle deaktivieren willst, dann Disable.
March 03, 2022, 02:16:09 AM #11 Last Edit: March 04, 2022, 01:34:38 AM by Nambis
Quote from: RalfG on March 02, 2022, 05:42:22 PM
du hast das ja gar nicht übr die policies gesteuert?

Hau mal alle raus (Reiter Download), Alles auswählen, Disable selected, Save, Download & Update.

In den Policies Regel rein, Prio 0 Action Disable, Alert, Drop, New Action Drop, bzw. wenn du zuerst mal alle deaktivieren willst, dann Disable.

Habe ich gemacht, alle ausgewählt und gedisabled.

Den letzten Absatz kapiere ich nicht, bitte noch mal erklären?

Okay, das hat leider nicht funktioniert, aber ich denke dort könnte der Fehler liegen. Danke so weit, ich werde noch ein wenig herumprobieren, in den Einstellungen.
Print
Go Up Pages1
User actions