23.1.2 -_- Probleme mit Suricata

Started by dsecure, February 18, 2023, 12:57:28 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 18, 2023, 12:57:28 PM
Seit dem Update meiner Sense auf 23.1.1_2 scheint es irgendwie Probleme zu geben, wenn Suricata aktiviert ist, kann ich von der Sense weder mein Gateway anpingen noch irgendwelche Hosts im Internet. Allerdings funktioniert das aus dem LAN heraus alles ganz normal. Von der Konfiguration wurde nichts geändert.

DNS scheint keine Probleme zu haben:

Code Select
# /sbin/ping -4 -c '1' 'heise.de'
PING heise.de (193.99.144.80): 56 data bytes

--- heise.de ping statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss

Aus den Logs werde ich jetzt auch nicht direkt schlau:

Code Select
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'ET.vba-jpg-dl' is checked but not set. Checked in 2814992 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.MS.XMLHTTP.ip.request' is checked but not set. Checked in 2022050 and 1 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'ET.wininet.UA' is checked but not set. Checked in 2021312 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.MS.WinHttpRequest.no.exe.request' is checked but not set. Checked in 2022653 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.IE7.NoRef.NoCookie' is checked but not set. Checked in 2023672 and 4 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'ET.SecondaryFlash.Req' is checked but not set. Checked in 2829953 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'et.WinHttpRequest' is checked but not set. Checked in 2019823 and 0 other sigs
2023-02-18T11:59:54 Warning suricata [100382] <Warning> -- [ERRCODE: SC_WARN_FLOWBIT(306)] - flowbit 'exe.no.referer' is checked but not set. Checked in 2020500 and 0 other sigs

Was ich auch fragen wollte ist, wann wird Suricata auf Version 7 umgestellt?

Code Select
2023-02-18T11:59:09 Warning suricata [100318] <Warning> -- [ERRCODE: SC_ERR_CONF_YAML_ERROR(242)] - App-Layer protocol http2 enable status not set, so enabling by default. This behavior will change in Suricata 7, so please update your config. See ticket #4744 for more details.

Gibt es sonst noch Infos die ich zur Problembehebung nach schauen könnte...?
February 20, 2023, 03:24:29 PM #1
Sorry fürs Nerven :-X, aber wird aktuell an dem Problem gearbeitet, was ich gesehen habe, scheinen mehrere Leute in der Community betroffen zu sein?
February 22, 2023, 04:56:06 PM #2
Hallo,
wir sitzen aktuell mit ner DEC2750 Appliance und 23.1_6 und diesem Problem fest. Keine pings von der Firewall nach extern und keine Möglichkeit das Repo für ein Update zu erreichen.
DNS geht auch und LAN Traffic (forwarded traffic/NAT) geht auch wunderbar.

Hat jemand inzwischen eine Idee was das ist? Haben IDS/IPS schon komplett disabled, ohne das es hilft.
February 22, 2023, 08:28:04 PM #3
Guten Abend,

Ist das denn im IDS oder IPS Modus? Welche Interfaces werden verwendet (HW oder VLAN oder etc.)? Ein bisschen wenig Info um zu hefen.

> Haben IDS/IPS schon komplett disabled, ohne das es hilft.

Falscher Beitrag? oO


Grüsse
Franco
February 22, 2023, 11:36:37 PM #4 Last Edit: February 22, 2023, 11:38:42 PM by dsecure
Quote from: franco on February 22, 2023, 08:28:04 PM
Guten Abend,

Ist das denn im IDS oder IPS Modus? Welche Interfaces werden verwendet (HW oder VLAN oder etc.)? Ein bisschen wenig Info um zu hefen.

> Haben IDS/IPS schon komplett disabled, ohne das es hilft.

Falscher Beitrag? oO


Grüsse
Franco

Vielen Dank für deine Antwort!

Wenn IPS deaktiviert, läuft alles wie man es erwartet. HW Offloads deaktiviert von der Schnittstelle. Suricata lauscht nur auf WAN. IDS wird nicht verwendet, habe ich auch nicht getestet. Ich kann auch nicht viel mehr zur Reproduktion des Fehlers sagen, da es, wie schon eingangs erwähnt, vor dem Upgrade lief. Ist Suricata V7 schon in Planung für die Opnsense?^^

LG
February 23, 2023, 09:24:34 AM #5
IDS ist wenn IPS deaktiviert ist aber Suricata läuft. ;)

Liegt also (mal wieder) an Netmap...


Grüsse
Franco
Print
Go Up Pages1
User actions