Suricata não relatando alertas na porta WAN
-
Boa tarde pessoal,
Estou com uma situação anormal no meu Suricata. Ele não gera nenhum alerta na porta WAN (que é PPPoE). Na LAN ta normalmente me relatando tudo que ta acontecendo.
Observando o Log View do Suricata, depois que eu dei um restart no serviço para ver o que o log me trazia de mais recente, observei vários erros de regras de assinaturas. Fui la em Wan Categories e reparei que as regras que estão apresentando erros, são todas da categoria "Snort GPLv2 Community Rules (Talos-certified)".
O log de erro é muito extenso pra copiar aqui, mas segue abaixo o iníncio dele:23/6/2020 -- 11:32:39 - <Error> -- [ERRCODE: SC_ERR_RULE_KEYWORD_UNKNOWN(102)] - unknown rule keyword 'sip_method'.
23/6/2020 -- 11:32:39 - <Error> -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "alert udp $EXTERNAL_NET any -> $SIP_SERVERS $SIP_PORTS (msg:"PROTOCOL-VOIP inbound INVITE message"; flow:to_server; content:"INVITE"; fast_pattern:only; sip_method:invite; metadata:policy max-detect-ips drop, ruleset community, service sip; reference:url,www.ietf.org/rfc/rfc3261.txt; classtype:protocol-command-decode; sid:11968; rev:8;)" from file /usr/local/etc/suricata/suricata_26875_pppoe1/rules/suricata.rules at line 2307
23/6/2020 -- 11:32:39 - <Error> -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - previous keyword has a fast_pattern:only; set. Can't have relative keywords around a fast_pattern only content
23/6/2020 -- 11:32:39 - <Error> -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"MALWARE-OTHER Win.Trojan.Zeus Spam 2013 dated zip/exe HTTP Response - potential malware download"; flow:to_client,established; content:"-2013.zip|0D 0A|"; fast_pattern:only; content:"-2013.zip|0D 0A|"; http_header; content:"-"; within:1; distance:-14; http_header; file_data; content:"-2013.exe"; content:"-"; within:1; distance:-14; metadata:impact_flag red, policy balanced-ips drop, policy max-detect-ips drop, policy security-ips drop, ruleset community, service http; reference:url,www.virustotal.com/en/file/2eff3ee6ac7f5bf85e4ebcbe51974d0708cef666581ef1385c628233614b22c0/analysis/; classtype:trojan-activity; sid:26470; rev:2;)" from file /usr/local/etc/suricata/suricata_26875_pppoe1/rules/suricata.rules at line 2585
Alguém já passou por isso?
Grato pela atenção.
-
Fala Joaquim,
Normalmente não é interessante rodar IPS/IDS na WAN, pois já existe a regra de default deny que irá bloquear tudo que chegar na sua WAN, a não ser que você queira proteger um serviço que esteja aberto para a Internet.
Quando eu rodava IPS/IDS, tipo snort ou suricata, eu habilitava apenas na LAN, mas mesmo assim, como tudo praticamente hoje é SSL, também não tem muito sentido pois o snort/suricata não vai conseguir ver o payload do pacote.
Em relação aos seus erros, nem todas as regras do SNORT são compatíveis com o suricata.
Lá no log do suricata, você pode ver quantas regras foram "lidas" com sucesso e quantas falharam.IDS/IPS é tunning, não é do tipo que configura e esquece..
-
@mcury Entendo. É que estou sofrendo mto ataque e queria aumentar um pouco mais o nível de segurança.
É, com certeza, não pretendia abandonar depois de configurado. A ideia é acompanhar tudo que ele anda bloqueando ou liberando diariamente, mas essa questão dele não conseguir ler todas as regras do Snort já me deu uma luz e tanto. Vou dar uma lida melhor nas regras que foram lidas com sucesso e as que não, para ir removendo. De qualquer forma vou levar em consideração o que vc falou sobre usar ou não IDS/IPS,
Brigadão pela força! -
De nada Joaquim.
Só lembrando que ataques tipo DDOS nem adianta tentar parar com IDS/IPS pois sua WAN já estará saturada..
DDOS só a provedora vai conseguir parar antes de chegar até você.
Uma vez que chega na sua WAN, dar drop não adianta..Boa sorte ai na configuração e nos ataques..
-
@mcury Perfeito de repente até procurar formas mais eficazes de me defender melhor, infelizmente não é DDOS.
Mais uma vez brigadão, abraço!