suricata deaktiviert sich (IDS /IPS) automatisch

[Bogotrax]

Hallo Leute,

der Threadtitel sagts eigentlich schon. Habe den IDS / IPS Dienst suricata aktiviert und nach ca 15-20 Minuten wird der Dienst automatisch deaktiviert. Womit kann das zusammenhängen? Gibt es logfiles, die dort Einblick verschaffen? Kann ich das Verhalten beeinflussen bzw. den Dienst dauerhaft aktivieren?

[lfirewall1243]

Unter Dienste->Einbruchserkennung->Protokolldatei findest du die suricata logs

[Bogotrax]

Besten Dank für die Info.

Das Logfile ist leider nicht aussagekräfitg:

Code Select Expand

2021-12-27T10:05:29 suricata[45842] [100140] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-27T09:43:11 suricata[76496] [100343] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T22:48:15 suricata[53046] [100116] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T22:10:52 suricata[77437] [100118] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T21:33:18 suricata[29964] [100140] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode

Die Uhrzeiten markieren, wann ich suricata als Dienst manuell wieder aktiviert habe, nachdem es sich selbst deaktiviert hat. Jemand eine Idee, warum es sich so verhält?

[lfirewall1243]

Besten Dank für die Info.

Das Logfile ist leider nicht aussagekräfitg:

Code Select Expand

2021-12-27T10:05:29 suricata[45842] [100140] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-27T09:43:11 suricata[76496] [100343] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T22:48:15 suricata[53046] [100116] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T22:10:52 suricata[77437] [100118] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode
2021-12-26T21:33:18 suricata[29964] [100140] <Notice> -- This is Suricata version 6.0.4 RELEASE running in SYSTEM mode

Die Uhrzeiten markieren, wann ich suricata als Dienst manuell wieder aktiviert habe, nachdem es sich selbst deaktiviert hat. Jemand eine Idee, warum es sich so verhält?

Welche OPNsense Version?
Welche Hardware?
Hast du gleichzeitig noch Sensei/Zenarmor oder netflow aktiv?
Auf welchen Interfaces läuft der Dienst und wie sind diese konfiguriert?

Gesendet von meinem M2012K11AG mit Tapatalk

[Bogotrax]

Code Select Expand

Versions OPNsense 21.7.7-amd64
FreeBSD 12.1-RELEASE-p21-HBSD
OpenSSL 1.1.1l 24 Aug 2021
Updates Click to check for updates.
CPU type AMD GX-412TC SOC (4 cores)

Service Description Status
configd System Configuration Daemon
cron Cron
dhcpd DHCPv4 Server
login Users and Groups
ntpd Network Time Daemon
pf Packet Filter
routing System routing
suricata Intrusion Detection
sysctl System tunables
syslog-ng Syslog-ng Daemon
unbound Unbound DNS
webgui Web GUI



Hast du gleichzeitig noch Sensei/Zenarmor oder netflow aktiv?

Dazu kann ich leider nichts sagen, weil ich die Dienste nicht kenne. Ist mehr oder weniger Standardkonfiguration.
Die aktivierten Dienste habe ich oben aufgeführt (bis auf suricata - der ist deaktiviert..).

Auf welchen Interfaces läuft der Dienst und wie sind diese konfiguriert?

Code Select Expand

Services: Intrusion Detection: Administration
Enabled (checked)

IPS mode (unchecked)

Promiscuous mode (unchecked)

Enable syslog alerts (checked)

Enable eve syslog output (unchecked)

Pattern matcher (Aho-Corasick)

Interfaces (WAN)

Rotate log (Daily)

Save logs (4)


[lfirewall1243]

Code Select Expand

Versions OPNsense 21.7.7-amd64
FreeBSD 12.1-RELEASE-p21-HBSD
OpenSSL 1.1.1l 24 Aug 2021
Updates Click to check for updates.
CPU type AMD GX-412TC SOC (4 cores)

Service Description Status
configd System Configuration Daemon
cron Cron
dhcpd DHCPv4 Server
login Users and Groups
ntpd Network Time Daemon
pf Packet Filter
routing System routing
suricata Intrusion Detection
sysctl System tunables
syslog-ng Syslog-ng Daemon
unbound Unbound DNS
webgui Web GUI



Hast du gleichzeitig noch Sensei/Zenarmor oder netflow aktiv?

Dazu kann ich leider nichts sagen, weil ich die Dienste nicht kenne. Ist mehr oder weniger Standardkonfiguration.
Die aktivierten Dienste habe ich oben aufgeführt (bis auf suricata - der ist deaktiviert..).

Auf welchen Interfaces läuft der Dienst und wie sind diese konfiguriert?

Code Select Expand

Services: Intrusion Detection: Administration
Enabled (checked)

IPS mode (unchecked)

Promiscuous mode (unchecked)

Enable syslog alerts (checked)

Enable eve syslog output (unchecked)

Pattern matcher (Aho-Corasick)

Interfaces (WAN)

Rotate log (Daily)

Save logs (4)


Wie ist dein WAN Interface konfiguriert?PPPOE?

Meine da gab's mal Probleme

Gesendet von meinem M2012K11AG mit Tapatalk

[Bogotrax]

Code Select Expand

Interfaces: [WAN]
Enable Enable Interface (checked)
Lock Prevent interface removal (unchecked)
Device igb1
Description (blank)
Generic configuration
Block private networks (unchecked)
Block bogon networks (unchecked)
IPv4 Configuration Type (DHCP)
[...]
Override MTU (checked)


Dabei fällt mir auf - folgender Dienst deaktiviert sich auch selbst
"unbound    Unbound DNS"    

[Bogotrax]

Ich hab mal sicherheitshalber das Passwort geändert. Selbes Verhalten.
Crossposting im suricata forum - man möge es mir verzeihen.

[dsecure]

Ein ähnliches Problem habe ich auch, kann es sein das hier die Hardware zu schwach ist?

[micneu]

die apu's können damit schon überfordert sein (ist ja auch keine so tolle hardware)

[Bogotrax]

Ich lasse gerade mit folgenden Diensten laufen

Code Select Expand


configd System Configuration Daemon (enabled)
cron Cron (disabled)
dhcpd DHCPv4 Server (enabled)
login Users and Groups (enabled)
ntpd Network Time Daemon (disabled)
pf Packet Filter (enabled)
routing System routing (enabled)
suricata Intrusion Detection (enabled)
sysctl System tunables (enabled)
syslog-ng Syslog-ng Daemon (disabled)
unbound Unbound DNS (enabled)
webgui Web GUI (enabled)


CPU temp 72 °C
CPU Auslastung rnd 50%
Memory 94%
Status von suricata enabled.
Gibts was , was RAM schluckt , aber nicht notwendig ist bei den Diensten?
Gibts einen Dienst, den ich wieder aktivieren sollte?

Update: gerade ist suricata wieder disabled worden. RAM auslastung auf 24 % gefallen. Anscheinend frisst suricata dem System zu viel ram. Was von den Diensten kann ich noch deaktivieren. Suricata hat priorität. Ohne dem kann ich gleich ne neue Maschine kaufen.

Wieso läuft suricata so schnell "voll" und schaltet sich selbst ab? Kann man dem Verhalten mit weniger rules entgegenkommen?
Es sind standardmäßig ca 14 % von den "121926 entries" aktiviert. Wenn nur so wenige Rules anscheinend eine Rolle spielen, kann man da standardmäßig welche deakvieren bzw. nicht downloaden.:

Code Select Expand


abuse.ch/Feodo Tracker 2021/12/26 21:04
abuse.ch/SSL Fingerprint Blacklist 2021/12/26 21:04
abuse.ch/SSL IP Blacklist 2021/12/26 21:04
abuse.ch/ThreatFox 2021/12/26 21:04
abuse.ch/URLhaus 2021/12/26 21:04
ET open/botcc 2021/12/26 21:05
ET open/botcc.portgrouped 2021/12/26 21:04
ET open/ciarmy 2021/12/26 21:05
ET open/compromised 2021/12/26 21:05
ET open/drop 2021/12/26 21:05
ET open/dshield 2021/12/26 21:05
ET open/emerging-activex 2021/12/26 21:05
ET open/emerging-adware_pup 2021/12/26 21:05
ET open/emerging-attack_response 2021/12/26 21:05
ET open/emerging-chat 2021/12/26 21:05
ET open/emerging-coinminer 2021/12/26 21:05
ET open/emerging-current_events 2021/12/26 21:05
ET open/emerging-deleted 2021/12/26 21:05
ET open/emerging-dns 2021/12/26 21:05
ET open/emerging-dos 2021/12/26 21:05
ET open/emerging-exploit 2021/12/26 21:05
ET open/emerging-exploit_kit 2021/12/26 21:05
ET open/emerging-ftp 2021/12/26 21:05
ET open/emerging-games 2021/12/26 21:05
ET open/emerging-hunting 2021/12/26 21:05
ET open/emerging-icmp 2021/12/26 21:05
ET open/emerging-icmp_info 2021/12/26 21:05
ET open/emerging-imap 2021/12/26 21:05
ET open/emerging-inappropriate 2021/12/26 21:05
ET open/emerging-info 2021/12/26 21:05
ET open/emerging-ja3 2021/12/26 21:05
ET open/emerging-malware 2021/12/26 21:05
ET open/emerging-misc 2021/12/26 21:05
ET open/emerging-mobile_malware 2021/12/26 21:05
ET open/emerging-netbios 2021/12/26 21:05
ET open/emerging-p2p 2021/12/26 21:05
ET open/emerging-phishing 2021/12/26 21:05
ET open/emerging-policy 2021/12/26 21:05
ET open/emerging-pop3 2021/12/26 21:05
ET open/emerging-rpc 2021/12/26 21:05
ET open/emerging-scada 2021/12/26 21:05
ET open/emerging-scan 2021/12/26 21:05
ET open/emerging-shellcode 2021/12/26 21:05
ET open/emerging-smtp 2021/12/26 21:05
ET open/emerging-snmp 2021/12/26 21:05
ET open/emerging-sql 2021/12/26 21:05
ET open/emerging-telnet 2021/12/26 21:05
ET open/emerging-tftp 2021/12/26 21:05
ET open/emerging-user_agents 2021/12/26 21:05
ET open/emerging-voip 2021/12/26 21:05
ET open/emerging-web_client 2021/12/26 21:05
ET open/emerging-web_server 2021/12/26 21:05
ET open/emerging-web_specific_apps 2021/12/26 21:05
ET open/emerging-worm 2021/12/26 21:05
ET open/tor 2021/12/26 21:05
OPNsense-App-detect/file-transfer 2021/12/26 21:04
OPNsense-App-detect/mail 2021/12/26 21:04
OPNsense-App-detect/media-streaming 2021/12/26 21:04
OPNsense-App-detect/messaging 2021/12/26 21:04
OPNsense-App-detect/social-networking 2021/12/26 21:04
OPNsense-App-detect/test 2021/12/26 21:04
OPNsense-App-detect/uncategorized 2021/12/26 21:04

Ich benutze fast gar nix mit dem Netzwerk - kein Mailserver, kein Nix.

[micneu]

nutze doch mal die suche, bin mir nicht sicher aber ich glaube die empfehlung für suricata liegt schon über 8GB Ram eher 16GB (wie gesagt nutze mal die forum suche, wurde schon öfter hier behadelt)

[dsecure]

Auf einer Proxmox VM läuft es mit einem Xeon E3 zuverlässig, dieser ist zwar auch kein Monster CPU aber immer noch leistungsfähiger als eine APU. Ich werde wohl auch meine APU nächstes Jahr außer Betrieb nehmen und mir FW technisch stärkere HW kaufen. Das Problem mit der geringen Lesitung der APU wurde hier jetzt auch in anderen Zusammenhängen, wie Micneu auch sagt, schon öfter diskutiert. MFG

[Bogotrax]

Ich hab jetzt alle Einstellungen durch auf der Weboberfläche von suricata. Wem noch etwas anderes einfällt, der möge das bitte hier reinschreiben. Ansonsten gehe ich davon aus, dass suricata auf der APU einfach nicht lauffähig ist. Besten Dank an alle Rückmeldungen.

[lfirewall1243]

Ich hab jetzt alle Einstellungen durch auf der Weboberfläche von suricata. Wem noch etwas anderes einfällt, der möge das bitte hier reinschreiben. Ansonsten gehe ich davon aus, dass suricata auf der APU einfach nicht lauffähig ist. Besten Dank an alle Rückmeldungen.

Weiß nicht wieviel RAM deine Hardware hat.

Aber alles unter 8GB ist schon sehr kritisch und eigentlich nicht auf dauer lauffähig.

Bevor du aber neue Hardware kauft, denk drüber nach ob du Suricata wirklich brauchst.
Es ist schließlich auch kein magisches Tool was nur schlechten Traffic Filtert, hat genau so schwächen oder macht in einigen Bereichen auch einfach keinen Sinn.
Oft wird Suricata als Must Have dargestellt, welches immer aktiv sein muss... Das ist nicht der Fall....

Hast du Beispielsweise keine Ports auf dem WAN offen, muss dort meine Ansicht nach auch kein Suricata laufen.


Gesendet von meinem M2012K11AG mit Tapatalk