[Solved] Suricata will nicht mit URLhaus?

[Reiter der OPNsense]

Hallo Leute,
ich beschäftige mich gerade zum ersten Mal mit Suricata auf einer APU2 von PC Engines mit OPNsense 19.1.5_1 drauf.

Der Test mit dem Regelset OPNsense-App-detect/test funktioniert (WAN, Hyperscan, IPS, Alert und Drop). Die Eicar-Signatur wird erkannt, blockiert und unter Alarms erscheint ein entsprechender Eintrag.

Wenn ich das Regelset abuse.ch/URLhaus aktiviere und nach dem rule reload complete eine verseuchte Datei herunterlade (z. B. https://urlhaus.abuse.ch/url/1227/), dann wird diese URL vom IPS durchgelassen und es erscheint kein Eintrag unter Alarms.

Ich habe es auch mal nur im IDS-Modus und mit der LAN-Schnittstelle (IGB1) im promiscuous mode (wegen VLANs) versucht. Verhält sich auch nicht anders.

Funktioniert bei euch Suricata mit URLhaus?

Nach einem Reboot steht folgendes im Log:

Code Select Expand

suricata: [100237] <Notice> -- all 5 packet processing threads, 4 management threads initialized, engine started.
suricata: [100237] <Warning> -- [ERRCODE: SC_WARN_DEFAULT_WILL_CHANGE(317)] - in 5.0 the default for decoder event stats will go from 'decoder.<proto>.<event>' to 'decoder.event.<proto>.<event>'. See ticket #2225. To suppress this message, set stats.decoder-events-prefix in the yaml.
suricata: [100135] <Notice> -- This is Suricata version 4.1.3 RELEASE

[chemlud]

Hier Aho-Corasick, ergibt

Code Select Expand

2019-04-08T20:34:36.761324+0200 blocked iNET 10.0.0.5 52820 72.4.146.187 80 URLhaus Known malware download URL detected
2019-04-08T20:34:36.761324+0200 blocked iNET 10.0.0.5 52820 72.4.146.187 80 URLhaus Known malware downlo...

mit 19.1.5-lastest von heute morgen.

[Meditux]

Hi Chemlud,

wo ist die "mit 19.1.5-lastest von heute morgen." denn zu finden?

Gruß Meditux

[chemlud]

Wollte damit nur andeuten, dass ich das System gestern morgen von 19.1.4 auf 19.1.5 upgedatet habe ;-)

[Reiter der OPNsense]

Vielen Dank, chemlud.
Hab's jetzt noch mit Aho-Corasick versucht. Verhält sich genau gleich.
Irgendwelche Ideen an was das liegen könnte oder wie ich der Ursache auf die Spur kommen könnte?

[chemlud]

Schwierig. Ich hab "Promiscuous mode" enabled, diverse Snort Regelset aktiviert, mehrere Interfaces aktiv, aber ich sehe nicht wirklich, was da den Unterschied zu deinem Setup ausmacht. Ich habe Intel (igb) Interfaces intern, em als WAN....

[Reiter der OPNsense]

Jetzt geht es auf einmal. An was es genau lag weiss ich nicht.
In jedem Fall muss man nach einer Konfigänderungen immer schön geduldig warten, bis folgendes im LOG auftaucht:

Code Select Expand

suricata: [100145] <Notice> -- all [X] packet processing threads, [X] management threads initialized, engine started.
Und nach einer Regeländerung:

Code Select Expand

suricata: [100145] <Notice> -- rule reload starting

URLhaus greift nicht auf WAN, sondern nur auf dem Interface auf welchem die URL aufgerufen wird, bei mir IGB1.

Was mir auch noch aufgefallen ist: Bei Konfigänderungen haut es auf meiner Box oft die WAN-IP raus. Das Gateway ist dann offline. Nur IPv4, die IPv6 überlebt's. Das passiert aber auch ca. bei jedem dritten Neustart. Auch schon vor aktiviertem Suricata.

Konfiguration als Referenz:

Interfaces: Settings

Hardware CRC	[X] Disable
Hardware TSO	[X] Disable
Hardware LRO	[X] Disable
VLAN Hardware Filtering	[Disable VLAN Hardware Filtering] (Wenn VLAN im Einsatz)

Services: Intrusion Detection: Administration

Enabled	[X]
IPS mode	[X]
Promiscuous mode	[X] (Wenn VLAN im Einsatz)
Pattern matcher	[Hyperscan]
Interfaces	[IGB1, WAN]
Home networks	[private IPv6-Netzwerke zusätzlich eintragen]