[UPDATE] IDS funktioniert nicht

Started by aquaman, August 25, 2017, 02:47:38 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
August 25, 2017, 02:47:38 PM Last Edit: September 26, 2017, 08:31:49 AM by aquaman
Hallo zusammen,

ich habe versucht das IDS zu triggern. Ein paar andere Meldungen stehen bereits in der Alarmliste.

Um sicherzustellen, dass das IDS richtig funktioniert habe ich folgende Anfrage an einen Web-Server (Port 80 HTTP) geschickt: http://[external]/index.php?username=-1 union select 1,2,table_name FROM information_schema.tables-- -

Nun habe ich gehofft, dass die Regel sid=2017808 (ET WEB_SERVER Possible MySQL SQLi Attempt...) anschlägt. Die Regel ist aktiviert.

Das IDS lauscht auf LAN und WAN, aber in der Alarmliste kommt nichts an. IPS ist nicht aktiviert.

Sagt mir bitte bescheid, welche Infos/Logs ihr benoetigt.

Vielen Dank im Voraus,
Grueße aquaman
August 25, 2017, 02:51:50 PM #1
Hallöchen,

Welches Netz hat das WAN bzw. der Web-Server, welches LAN? Falls beides private Ranges sind könnte es sein, dass das IDS gar nicht weiß dass es ins/aus dem WAN funkt.


Grüsse
Franco
August 25, 2017, 02:57:44 PM #2
Hallo Franco,

es handelt sich tatsächlich um ein privates B und ein privates C Netzwerk.
Ein paar ungewollte IDS-Einträge sind auch aufgetaucht, allerdings nicht der erwartete Eintrag.

Danke & Grüße,
aquaman
August 25, 2017, 03:03:54 PM #3
Ja, etwas Lärm hat es immer.

Die Regel ist:

http://doc.emergingthreats.net/bin/view/Main/2017808

Also...

alert http $EXTERNAL_NET any -> $HOME_NET

Wir setzen...

HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
EXTERNAL_NET: "!$HOME_NET"

Vom WAN zu DMZ geht es... aber eben nur alles was nicht HOME_NET ist.


Grüsse
Franco
August 28, 2017, 09:54:36 AM #4
Hi,

gibt es in der GUI eine Konfigurationsmöglichkeit für $HOME_NET?

Nicht, dass ein Upgrade die Konfiguration zerlegt.

Danke & Grüße,
aquaman
August 28, 2017, 12:38:59 PM #5
Aktuell kann man nur händisch die /usr/local/opnsense/service/templates/OPNsense/IDS/suricata.yaml editieren. Dann kann man weiter über die GUI konfigurieren, aber bei jedem 17.7.x Update verschwindet dies.

Einen Feature-Request können wir gern diskutieren über:

https://github.com/opnsense/core/issues


Grüsse
Franco
August 29, 2017, 06:56:37 AM #6
Hi,

habe einen Feature-Request eröffnet: https://github.com/opnsense/core/issues/1793

Danke & Grüße,
aquaman
August 29, 2017, 11:41:50 AM #7
Super, danke, ich markiere als [GELÖST] was die Frage betrifft.


Grüsse
Franco
September 26, 2017, 08:38:24 AM #8 Last Edit: September 26, 2017, 08:42:29 AM by aquaman
Hallo zusammen,

das Feature ist jetzt im neuen Release.
Das IDS erkennt den oben gennanten Angriff immernoch nicht.

Konfiguration:
IDS Home-Networks: 192.168.0.0/16
IDS Interface: LAN (ist ein 192.168.0.0/24)
Das externe Netzwerk ist ein 172.16.0.0/24

Zugriff auf ein System in 172.16.0.0/24 mit HTTP (kein HTTPS!):
http://172.16.0.1/foo.php?id=-1%20union%20select%201,table_name,3%20from%20information_schema.tables--%20-

PS: Sobald ich WAN und LAN als IDS Interface angebe, lädt der "Anwenden"-Button ewig/unendlich lange.

Danke+Grüße,
aquaman
September 26, 2017, 09:47:26 AM #9
Ich habe auch das Gefühl das bei meiner Installation über die ausgehenden AIRVPN Verbindungen nichts gemeldet wird. Dort werden auch private IPs genutzt. Keine Ahnung ob es daran liegt. Ich bekomme lediglich vereinzelt STREAM invalid * auf dem WAN Interface, jegliche Rules auf dem VPN Interfaces geben keine Alerts.
HOMENET ist ebenfalls nur auf das 192er gesetzt.

September 26, 2017, 01:21:04 PM #10 Last Edit: September 26, 2017, 01:58:39 PM by aquaman
/usr/local/etc/suricata/suricata.yaml sollte passen: HOME_NET: "[192.168.0.0/16]"

Suricata wird auch mit dem richtigen Interface und Config gestartet:
/usr/local/bin/suricata -D --pcap=xxx0 --pidfile /var/run/suricata.pid -c /usr/local/etc/suricata/suricata.yaml

In den Logs von Suricata (auch ganz interessant):
26/9/2017 -- 03:13:37 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "¾Ÿ Ïê.Ù««îZeb·"r$]" from file /usr/local/etc/suricata/opnsense.rules/abuse.ch.sslblacklist.rules at line 91

Mehrmals die Fehlermeldungen "error parsing signature" aber alle von "abuse.ch.sslblacklist.rules".

Habe das IDS-Interface kurz auf WAN gestellt, dann bekomme ich nur jede Menge "SURICATA zero length padN option" Alerts. Habe den HTTP-Request von außen an Port 80 geschickt (Port-Weiterleitung an WAN-Adresse:80 -> LAN-Adresse:80), die SQL-Attacke bleibt auch dort verborgen.
September 26, 2017, 02:07:33 PM #11
ist das vielleicht das Problem, gerade wo du speziell abuse.ch nennst.
https://forum.opnsense.org/index.php?topic=5932.msg24683
September 26, 2017, 02:52:15 PM #12
Ich hoffe doch nicht, dass ein einzelner Signatur-Provider das IDS lahmlegen kann. :o Die Signatur die ich prüfen möchte ist von Emerging Threats.
September 26, 2017, 07:16:38 PM #13
Quote from: NilsS on September 26, 2017, 02:07:33 PM
ist das vielleicht das Problem, gerade wo du speziell abuse.ch nennst.
https://forum.opnsense.org/index.php?topic=5932.msg24683


also, wie im genannten Post gesagt, wurde das bereits gefixed!

--> hast Du die letzten Updates installiert?

Grüße, Stephan
September 26, 2017, 07:21:14 PM #14
Quote from: aquaman on September 26, 2017, 02:52:15 PM
Ich hoffe doch nicht, dass ein einzelner Signatur-Provider das IDS lahmlegen kann. :o Die Signatur die ich prüfen möchte ist von Emerging Threats.

also, die 'unleserlichen' (weil komprimierten) Dateien von abuse.ch haben nicht alles lahmgelegt, aber es konnten halt keine Abfragen bezüglich dieser Regeln gemacht werden...
Print
Go Up Pages1 2
User actions