SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?

[t00r]

Hallo zusammen,
ich habe seit Ende August 2018, also ziemlich seit Inbetriebnahme meiner OPNsense-Box, Suricata aktiviert.
Dazu habe ich die Option "Enable syslog alerts" aktiviert.

Mein Verständnis ist, dass dadurch alle Suricata Alerts in '/var/log/suricata.log' erscheinen.
Bereits vor einiger Zeit und heute bin ich aber mal in der Web-GUI die Alerts unter 'Services: Intrusion Detection: Administration: Alerts' durchgegangen und stellte fest, dass dort Meldungen erscheinen, die in '/var/log/suricata.log' nicht erscheinen.
 
Nachfolgend zwei Beispiele von IPS-Signatur Alerts, die sich nicht im '/var/log/suricata.log' File befinden:
 
Timestamp    2018-11-03T20:06:29.669191+0100
Alert    ET TROJAN [PTsecurity] Malicious SSL connection (Upatre Downloader CnC) cert
Alert sid    2024772
Protocol    TCP
Source IP    149.126.4.32
Destination IP    192.168.xx.xxx
Source port    443
Destination port    44019
Interface    FRITZBOX
Configured action      Enabled / Drop


Timestamp    2018-11-03T12:14:24.407028+0100
Alert    ET TROJAN Zberp receiving config via image file - SET
Alert sid    2021381
Protocol    TCP
Source IP    192.168.xx.xxx
Destination IP    217.175.192.2
Source port    5667
Destination port    80
Interface    LAN
Configured action      Enabled / Drop


Any Ideas?

[franco]

Hallöchen,

Klingt nach:

https://github.com/opnsense/core/issues/2809

Die Vermutung ist dass UDP Pakete zu gross sind und dann nicht übertragen werden.

Sollte das der Fall sein bleibt nur ein Umstieg auf syslog-ng als Quelle von der OPNsense hin zur Senke.

Ich frage aber auch die Suricata-Entwickler übernächste Woche ob da noch was einzustellen / korrigieren ist.


Grüsse
Franco

[t00r]

Kleiner Nachtrag, um Missverständnissen vorzubeugen:
ich habe keinen Syslog-Server laufen, an den die Einträge geschickt werden.Sondern ich meine das *lokale* '/var/log/suricata.log' File.

[franco]

Hallo toor,

Danke für die Info. Das macht es noch schwieriger. Nach etwas Suricata-Quellcode lesen hab ich nur noch folgende Idee:

https://github.com/opnsense/core/commit/a83e72acf1e

Zu installieren über:

# opnsense-patch a83e72acf1e

Und dann auf Intrusion Detection: Apply klicken.


Danke
Franco

[t00r]

Hallo franco,
Habe den Patch heute morgen eingespielt und behalte das die nächsten Tage im Auge; gebe dann wieder hier Rückmeldung.

Aber der hier wurde wieder nicht lokal in ' /var/log/suricata.log' angezeigt:

Alert info
Timestamp   2018-11-12T12:51:41.973979+0100
Alert   ET TROJAN Zberp receiving config via image file - SET
Alert sid   2021381
Protocol   TCP
Source IP    192.168.xx.xxx
Destination IP   217.160.122.62
Source port   6487
Destination port   80
Interface   LAN
Configured action      Enabled / Drop

[t00r]

Guten Morgen Franco,
Guten Morgen zusammen,

wollte Rückmeldung geben:

Die unten stehende IPS-Signatur ist eben über 200-mal im Web-GUI Alert-Log aufgetaucht, jedoch nicht lokal in ' /var/log/suricata.log'.

2018-11-17T09:30:22.239741+0100
Alert    ET TROJAN [PTsecurity] Malicious SSL connection (Upatre Downloader CnC) cert
Alert sid    2024772
Protocol    TCP
Source IP    149.126.4.32
Destination IP    192.168.30.100
Source port    443
Destination port    38323
Interface    FRITZBOX
Configured action      Enabled / Drop

Noch ein Hinweis:

Die IPS-Signatur hat auch keinen Payload (denn ich habe dies aktiviert, siehe meine Settings unten), denn sie sagt im Endeffekt nur, dass der Aufruf gefährlich ist.
Die in meiner vorherigen Mail genannte IPS-Signatur 2021381 ("ET TROJAN Zberp receiving config via image file - SET") hat auch keinen Payload.


Hier noch meine IPS-Settings:

Enabled: X
IPS mode: X
Promiscuous mode: X
Enable syslog alerts: X
Pattern matcher: Hyperscan
Interfaces: WAN , LAN , DMZ , FRITZBOX
Rotate log: Weekly
Save logs: 4


PS: Nicht wundern, warum die Firewall über 200 dieser Meldungen hat. Auf dem Server des Providers sind viele Kunden gehostet, einige davon haben wohl Malware in Umlauf gebracht, wir rufen hier nur den "guten" Kunden auf :-). Der Provider selbst erscheint mir auf den ersten Blick seriös.

[franco]

Ich frag mal bei den Suricata Devs nach...


Grüsse
Franco

[t00r]

Das wäre toll!

Viele Grüße toor