CrowdSec - Port Scans - kein Alert/Ban

Started by Schmiddi, October 11, 2024, 11:00:26 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 11, 2024, 11:00:26 AM
Hallo zusammen,

seit dem Update der OPNsense auf 24.7.5 konnte ich beobachten, dass CrowdSec mit firewallservices/pf-scan-multi_ports Scenario keine Alerts und Bans mehr diesbezüglich anzeigt/vornimmt.

Generelle Funktionalität besteht und wurde mit SSH BruteForce getestet.
Pre 24.7.5 wurden PortScans auch verlässlich geblockt, auch durch mich selbst getestet, jetzt jedoch nicht mehr. Die Anfragen selbst werden verlässlich durch die Sense geblockt, leider kein Ban mehr durch CrowdSec vorgenommen.
Habe das Scenario neuinstalliert, ohne Erfolg.

Konnte jemand etwas ähnliches beobachten?

Wenn ja, wird es allem Anschein nach irgendeine Inkompatibilität seit 24.7.5 geben.
October 11, 2024, 11:12:02 AM #1
Was sagt denn
Code Select
cscli scenarios list?

Da sollte diese Zeile hier enthalten sein:
Code Select
firewallservices/pf-scan-multi_ports              ✔️  enabled  0.4      /usr/local/etc/crowdsec/scenarios/pf-scan-multi_ports.yaml               


Ein check auf aktuelle Alerts:
Code Select
cscli alerts list
zeigt bei mir auch entsprechende Blocks, z.B.
Code Select
│ 8687 │ Ip:60.205.5.204                        │ firewallservices/pf-scan-multi_ports │ CN      │ 37963 Hangzhou Alibaba Advertising Co.,Ltd. │ ban:1     │ 2024-10-05 02:34:55.082052054 +0000 UTC │


Meine OPNsense ist 24.7.6.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 11, 2024, 11:19:16 AM #2 Last Edit: October 11, 2024, 12:32:18 PM by Schmiddi
Völlig richtig, sieht bei mir entsprechend auch so aus, nur ohne aktuelle Alerts/Blocks, nur meine manuell getesteten bzw durch meinen SSH Brute Force.

Eigene Port Scans werden nicht geblockt, andere dementsprechend ebenso nicht.

An der Konfiguration sollte es eigentlich nicht liegen, ist mir wie gesagt seit 24.7.5 aufgefallen.
Aber wenn es bei dir mit .6 klappt :/
Meine ist auch derweil auf .6

Bin alles nochmals durchgegangen, im crowdsec-firewall-bouncer.log sowie crowdsec.log sieht alles in Ordnung aus, die Ergebnisse der entsprechendenen cscli Befehle sehen in Ordnung aus sowie alles im GUI..

Das Einzige was mir aufgefallen ist, im CrowdSec Account bei der Security Engine siehe Screenshot.


Aber das wird nicht der Grund sein für die nicht geblockten PortScans. Lasse gerade ununterbrochen welche auf die Sense laufen, es passiert gar nichts :(

October 11, 2024, 05:14:59 PM #3
Hab Crowdsec so sauber es geht von der Sense entfernt, Datenbank gelöscht ect pp.
Komplett neu eingerichtet, nun gehts wieder.

Es sind jetzt automatisch gefühlt alle Scenarios geladen, ist das mittlerweile normal so?  ;D


Vorher hatte ich da nur insgesamt sieben an der Zahl, ausgewählt nach meinen Services.
Print
Go Up Pages1
User actions