Suricata não relatando alertas na porta WAN



  • Boa tarde pessoal,

    Estou com uma situação anormal no meu Suricata. Ele não gera nenhum alerta na porta WAN (que é PPPoE). Na LAN ta normalmente me relatando tudo que ta acontecendo.
    Observando o Log View do Suricata, depois que eu dei um restart no serviço para ver o que o log me trazia de mais recente, observei vários erros de regras de assinaturas. Fui la em Wan Categories e reparei que as regras que estão apresentando erros, são todas da categoria "Snort GPLv2 Community Rules (Talos-certified)".
    O log de erro é muito extenso pra copiar aqui, mas segue abaixo o iníncio dele:

    23/6/2020 -- 11:32:39 - <Error> -- [ERRCODE: SC_ERR_RULE_KEYWORD_UNKNOWN(102)] - unknown rule keyword 'sip_method'.

    23/6/2020 -- 11:32:39 - <Error> -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "alert udp $EXTERNAL_NET any -> $SIP_SERVERS $SIP_PORTS (msg:"PROTOCOL-VOIP inbound INVITE message"; flow:to_server; content:"INVITE"; fast_pattern:only; sip_method:invite; metadata:policy max-detect-ips drop, ruleset community, service sip; reference:url,www.ietf.org/rfc/rfc3261.txt; classtype:protocol-command-decode; sid:11968; rev:8;)" from file /usr/local/etc/suricata/suricata_26875_pppoe1/rules/suricata.rules at line 2307

    23/6/2020 -- 11:32:39 - <Error> -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - previous keyword has a fast_pattern:only; set. Can't have relative keywords around a fast_pattern only content

    23/6/2020 -- 11:32:39 - <Error> -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"MALWARE-OTHER Win.Trojan.Zeus Spam 2013 dated zip/exe HTTP Response - potential malware download"; flow:to_client,established; content:"-2013.zip|0D 0A|"; fast_pattern:only; content:"-2013.zip|0D 0A|"; http_header; content:"-"; within:1; distance:-14; http_header; file_data; content:"-2013.exe"; content:"-"; within:1; distance:-14; metadata:impact_flag red, policy balanced-ips drop, policy max-detect-ips drop, policy security-ips drop, ruleset community, service http; reference:url,www.virustotal.com/en/file/2eff3ee6ac7f5bf85e4ebcbe51974d0708cef666581ef1385c628233614b22c0/analysis/; classtype:trojan-activity; sid:26470; rev:2;)" from file /usr/local/etc/suricata/suricata_26875_pppoe1/rules/suricata.rules at line 2585

    Alguém já passou por isso?

    Grato pela atenção.



  • Fala Joaquim,

    Normalmente não é interessante rodar IPS/IDS na WAN, pois já existe a regra de default deny que irá bloquear tudo que chegar na sua WAN, a não ser que você queira proteger um serviço que esteja aberto para a Internet.

    Quando eu rodava IPS/IDS, tipo snort ou suricata, eu habilitava apenas na LAN, mas mesmo assim, como tudo praticamente hoje é SSL, também não tem muito sentido pois o snort/suricata não vai conseguir ver o payload do pacote.

    Em relação aos seus erros, nem todas as regras do SNORT são compatíveis com o suricata.
    Lá no log do suricata, você pode ver quantas regras foram "lidas" com sucesso e quantas falharam.

    IDS/IPS é tunning, não é do tipo que configura e esquece..



  • @mcury Entendo. É que estou sofrendo mto ataque e queria aumentar um pouco mais o nível de segurança.
    É, com certeza, não pretendia abandonar depois de configurado. A ideia é acompanhar tudo que ele anda bloqueando ou liberando diariamente, mas essa questão dele não conseguir ler todas as regras do Snort já me deu uma luz e tanto. Vou dar uma lida melhor nas regras que foram lidas com sucesso e as que não, para ir removendo. De qualquer forma vou levar em consideração o que vc falou sobre usar ou não IDS/IPS,
    Brigadão pela força!



  • De nada Joaquim.

    Só lembrando que ataques tipo DDOS nem adianta tentar parar com IDS/IPS pois sua WAN já estará saturada..
    DDOS só a provedora vai conseguir parar antes de chegar até você.
    Uma vez que chega na sua WAN, dar drop não adianta..

    Boa sorte ai na configuração e nos ataques..



  • @mcury Perfeito de repente até procurar formas mais eficazes de me defender melhor, infelizmente não é DDOS.
    Mais uma vez brigadão, abraço!


Log in to reply