[UPDATE] IDS funktioniert nicht

[aquaman]

Hallo zusammen,

ich habe versucht das IDS zu triggern. Ein paar andere Meldungen stehen bereits in der Alarmliste.

Um sicherzustellen, dass das IDS richtig funktioniert habe ich folgende Anfrage an einen Web-Server (Port 80 HTTP) geschickt: http://[external]/index.php?username=-1 union select 1,2,table_name FROM information_schema.tables-- -

Nun habe ich gehofft, dass die Regel sid=2017808 (ET WEB_SERVER Possible MySQL SQLi Attempt...) anschlägt. Die Regel ist aktiviert.

Das IDS lauscht auf LAN und WAN, aber in der Alarmliste kommt nichts an. IPS ist nicht aktiviert.

Sagt mir bitte bescheid, welche Infos/Logs ihr benoetigt.

Vielen Dank im Voraus,
Grueße aquaman

[franco]

Hallöchen,

Welches Netz hat das WAN bzw. der Web-Server, welches LAN? Falls beides private Ranges sind könnte es sein, dass das IDS gar nicht weiß dass es ins/aus dem WAN funkt.


Grüsse
Franco

[aquaman]

Hallo Franco,

es handelt sich tatsächlich um ein privates B und ein privates C Netzwerk.
Ein paar ungewollte IDS-Einträge sind auch aufgetaucht, allerdings nicht der erwartete Eintrag.

Danke & Grüße,
aquaman

[franco]

Ja, etwas Lärm hat es immer.

Die Regel ist:

http://doc.emergingthreats.net/bin/view/Main/2017808

Also...

alert http $EXTERNAL_NET any -> $HOME_NET

Wir setzen...

HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
EXTERNAL_NET: "!$HOME_NET"

Vom WAN zu DMZ geht es... aber eben nur alles was nicht HOME_NET ist.


Grüsse
Franco

[aquaman]

Hi,

gibt es in der GUI eine Konfigurationsmöglichkeit für $HOME_NET?

Nicht, dass ein Upgrade die Konfiguration zerlegt.

Danke & Grüße,
aquaman

[franco]

Aktuell kann man nur händisch die /usr/local/opnsense/service/templates/OPNsense/IDS/suricata.yaml editieren. Dann kann man weiter über die GUI konfigurieren, aber bei jedem 17.7.x Update verschwindet dies.

Einen Feature-Request können wir gern diskutieren über:

https://github.com/opnsense/core/issues


Grüsse
Franco

[aquaman]

Hi,

habe einen Feature-Request eröffnet: https://github.com/opnsense/core/issues/1793

Danke & Grüße,
aquaman

[franco]

Super, danke, ich markiere als [GELÖST] was die Frage betrifft.


Grüsse
Franco

[aquaman]

Hallo zusammen,

das Feature ist jetzt im neuen Release.
Das IDS erkennt den oben gennanten Angriff immernoch nicht.

Konfiguration:
IDS Home-Networks: 192.168.0.0/16
IDS Interface: LAN (ist ein 192.168.0.0/24)
Das externe Netzwerk ist ein 172.16.0.0/24

Zugriff auf ein System in 172.16.0.0/24 mit HTTP (kein HTTPS!):
http://172.16.0.1/foo.php?id=-1%20union%20select%201,table_name,3%20from%20information_schema.tables--%20-

PS: Sobald ich WAN und LAN als IDS Interface angebe, lädt der "Anwenden"-Button ewig/unendlich lange.

Danke+Grüße,
aquaman

[NilsS]

Ich habe auch das Gefühl das bei meiner Installation über die ausgehenden AIRVPN Verbindungen nichts gemeldet wird. Dort werden auch private IPs genutzt. Keine Ahnung ob es daran liegt. Ich bekomme lediglich vereinzelt STREAM invalid * auf dem WAN Interface, jegliche Rules auf dem VPN Interfaces geben keine Alerts.
HOMENET ist ebenfalls nur auf das 192er gesetzt.

[aquaman]

/usr/local/etc/suricata/suricata.yaml sollte passen: HOME_NET: "[192.168.0.0/16]"

Suricata wird auch mit dem richtigen Interface und Config gestartet:
/usr/local/bin/suricata -D --pcap=xxx0 --pidfile /var/run/suricata.pid -c /usr/local/etc/suricata/suricata.yaml

In den Logs von Suricata (auch ganz interessant):
26/9/2017 -- 03:13:37 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "¾Ÿ Ïê.Ù««îZeb·“r$]" from file /usr/local/etc/suricata/opnsense.rules/abuse.ch.sslblacklist.rules at line 91

Mehrmals die Fehlermeldungen "error parsing signature" aber alle von "abuse.ch.sslblacklist.rules".

Habe das IDS-Interface kurz auf WAN gestellt, dann bekomme ich nur jede Menge "SURICATA zero length padN option" Alerts. Habe den HTTP-Request von außen an Port 80 geschickt (Port-Weiterleitung an WAN-Adresse:80 -> LAN-Adresse:80), die SQL-Attacke bleibt auch dort verborgen.

[NilsS]

ist das vielleicht das Problem, gerade wo du speziell abuse.ch nennst.
https://forum.opnsense.org/index.php?topic=5932.msg24683

[aquaman]

Ich hoffe doch nicht, dass ein einzelner Signatur-Provider das IDS lahmlegen kann. Die Signatur die ich prüfen möchte ist von Emerging Threats.

[Stephan]

ist das vielleicht das Problem, gerade wo du speziell abuse.ch nennst.
https://forum.opnsense.org/index.php?topic=5932.msg24683

also, wie im genannten Post gesagt, wurde das bereits gefixed!

--> hast Du die letzten Updates installiert?

Grüße, Stephan

[Stephan]

Ich hoffe doch nicht, dass ein einzelner Signatur-Provider das IDS lahmlegen kann. Die Signatur die ich prüfen möchte ist von Emerging Threats.

also, die 'unleserlichen' (weil komprimierten) Dateien von abuse.ch haben nicht alles lahmgelegt, aber es konnten halt keine Abfragen bezüglich dieser Regeln gemacht werden...