SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?

t00r · November 04, 2018, 09:02:04 AM

Hallo zusammen,
ich habe seit Ende August 2018, also ziemlich seit Inbetriebnahme meiner OPNsense-Box, Suricata aktiviert.
Dazu habe ich die Option "Enable syslog alerts" aktiviert.

Mein Verständnis ist, dass dadurch alle Suricata Alerts in '/var/log/suricata.log' erscheinen.
Bereits vor einiger Zeit und heute bin ich aber mal in der Web-GUI die Alerts unter 'Services: Intrusion Detection: Administration: Alerts' durchgegangen und stellte fest, dass dort Meldungen erscheinen, die in '/var/log/suricata.log' nicht erscheinen.

Nachfolgend zwei Beispiele von IPS-Signatur Alerts, die sich nicht im '/var/log/suricata.log' File befinden:

Timestamp 2018-11-03T20:06:29.669191+0100
Alert ET TROJAN [PTsecurity] Malicious SSL connection (Upatre Downloader CnC) cert
Alert sid 2024772
Protocol TCP
Source IP 149.126.4.32
Destination IP 192.168.xx.xxx
Source port 443
Destination port 44019
Interface FRITZBOX
Configured action Enabled / Drop

Timestamp 2018-11-03T12:14:24.407028+0100
Alert ET TROJAN Zberp receiving config via image file - SET
Alert sid 2021381
Protocol TCP
Source IP 192.168.xx.xxx
Destination IP 217.175.192.2
Source port 5667
Destination port 80
Interface LAN
Configured action Enabled / Drop

Any Ideas?

franco · November 04, 2018, 07:14:26 PM

Hallöchen,

Klingt nach:

https://github.com/opnsense/core/issues/2809

Die Vermutung ist dass UDP Pakete zu gross sind und dann nicht übertragen werden.

Sollte das der Fall sein bleibt nur ein Umstieg auf syslog-ng als Quelle von der OPNsense hin zur Senke.

Ich frage aber auch die Suricata-Entwickler übernächste Woche ob da noch was einzustellen / korrigieren ist.

Grüsse
Franco

t00r · November 08, 2018, 07:12:56 PM

Kleiner Nachtrag, um Missverständnissen vorzubeugen:
ich habe keinen Syslog-Server laufen, an den die Einträge geschickt werden.Sondern ich meine das *lokale* '/var/log/suricata.log' File.

franco · November 09, 2018, 08:19:08 AM

Hallo toor,

Danke für die Info. Das macht es noch schwieriger. Nach etwas Suricata-Quellcode lesen hab ich nur noch folgende Idee:

https://github.com/opnsense/core/commit/a83e72acf1e

Zu installieren über:

# opnsense-patch a83e72acf1e

Und dann auf Intrusion Detection: Apply klicken.

Danke
Franco

t00r · November 12, 2018, 02:35:30 PM

Hallo franco,
Habe den Patch heute morgen eingespielt und behalte das die nächsten Tage im Auge; gebe dann wieder hier Rückmeldung.

Aber der hier wurde wieder nicht lokal in ' /var/log/suricata.log' angezeigt:

Alert info
Timestamp   2018-11-12T12:51:41.973979+0100
Alert   ET TROJAN Zberp receiving config via image file - SET
Alert sid   2021381
Protocol   TCP
Source IP 192.168.xx.xxx
Destination IP   217.160.122.62
Source port   6487
Destination port   80
Interface   LAN
Configured action Enabled / Drop

t00r · November 17, 2018, 09:39:01 AM

Guten Morgen Franco,
Guten Morgen zusammen,

wollte Rückmeldung geben:

Die unten stehende IPS-Signatur ist eben über 200-mal im Web-GUI Alert-Log aufgetaucht, jedoch nicht lokal in ' /var/log/suricata.log'.

2018-11-17T09:30:22.239741+0100
Alert ET TROJAN [PTsecurity] Malicious SSL connection (Upatre Downloader CnC) cert
Alert sid 2024772
Protocol TCP
Source IP 149.126.4.32
Destination IP 192.168.30.100
Source port 443
Destination port 38323
Interface FRITZBOX
Configured action Enabled / Drop

Noch ein Hinweis:

Die IPS-Signatur hat auch keinen Payload (denn ich habe dies aktiviert, siehe meine Settings unten), denn sie sagt im Endeffekt nur, dass der Aufruf gefährlich ist.
Die in meiner vorherigen Mail genannte IPS-Signatur 2021381 ("ET TROJAN Zberp receiving config via image file - SET") hat auch keinen Payload.

Hier noch meine IPS-Settings:

Enabled: X
IPS mode: X
Promiscuous mode: X
Enable syslog alerts: X
Pattern matcher: Hyperscan
Interfaces: WAN , LAN , DMZ , FRITZBOX
Rotate log: Weekly
Save logs: 4

PS: Nicht wundern, warum die Firewall über 200 dieser Meldungen hat. Auf dem Server des Providers sind viele Kunden gehostet, einige davon haben wohl Malware in Umlauf gebracht, wir rufen hier nur den "guten" Kunden auf :-). Der Provider selbst erscheint mir auf den ersten Blick seriös.

franco · November 20, 2018, 07:06:53 AM

Ich frag mal bei den Suricata Devs nach...

Grüsse
Franco

t00r · November 20, 2018, 09:09:41 AM

Das wäre toll!

Viele Grüße toor

SURICATA - 'Enable syslog alerts' funktioniert nicht bei allen IPS-Signaturen?

t00r

November 04, 2018, 09:02:04 AM Last Edit: November 04, 2018, 09:20:35 AM by t00r

franco

November 04, 2018, 07:14:26 PM #1

t00r

November 08, 2018, 07:12:56 PM #2

franco

November 09, 2018, 08:19:08 AM #3

t00r

November 12, 2018, 02:35:30 PM #4 Last Edit: November 12, 2018, 02:40:01 PM by t00r

t00r

November 17, 2018, 09:39:01 AM #5 Last Edit: November 17, 2018, 09:54:48 AM by t00r

franco

November 20, 2018, 07:06:53 AM #6

t00r

November 20, 2018, 09:09:41 AM #7