Настройка IDS/IPS Suricata
-
Не нашел в русскоязычной ветке тему про сурикату, да и англоязычной они какие-то все узкозаточенные, а вопросов у меня, возможно, будет много, да и с английским есть вопросы…
Для начала вот какой вопрос. Запустил ее почти в дефолте. Повесил на WAN. Во внутренней сети (со стороны lan) находится DNS-сервер на BIND'е. У него в настройках сделано 2 зоны через "view", для внутренней зоны он мастер и в А-записях указаны частные адреса, а вообще сам по себе он слейв и зону срисовывает с nic.ru, ну и соответственно в качестве адреса dns-сервера фигурирует этот же ip-адрес адрес с nic.ru. Короче, вопрос пока еще не в этом, а в том, что как только запускается suricata, то тут же наш dns-сервер перестает резолвить запросы. Другими словами, из внутренней сети трафик в инет бегает, но имена не резолвятся.
В логах suricata пишет ошибку: SURICATA IPv4 invalid checksum
На скриншоте показан лог, которые ведет суриката, там указаны адреса. Этих адресов я не знаю, но адресов нашей частной сети и адреса нашего dns-сервера там нет, но тем не менее, ничего не резолвится.
Хотелось бы для начала понять, что это за ошибка и с чем ее едят? Можно отключить конечно через вкладку WAN Rules, но для начала хотелось бы понять...
-
Доброе.
Я этого зверька после установки еще неделю плотно обучал , что блокировать, а что нет.
Там в настройках можно указывать какие адреса\сети ей не трогать. Есть дефолтные, но можно и свое добавить. -
zander
Это NS-ки
217.20.149.60 IP address information Location Country RU Autonomous System 49988 (Odnoklassniki Ltd) Passive DNS replication VirusTotal's passive DNS only stores address records. The following domains resolved to the given IP address. 2015-10-27 ns2.ok.ru 2014-09-24 ns2.odnoklassniki.ru
Я думаю можно отключить в suricata проверку контрольной суммы пакета.
Пускай этим занимается сетевая карта.
-
smils,
так и сделал, выключил этот invalid checksum по ip4, tcp и udp… странно оно работаетИ судя по всему, SURICATA STREAM ESTABLISHED retransmission packet before last ack - тоже нужно выключать или я не прав? Просто со всеми этими задержками и прочими заморочками у провайдеров, эти пакеты переставляются, когда угодно. Не скажу, что юзеры внутри сети жалуются на недоступность каких-то сайтов из-за этого, но меня самого, когда я удаленно цепляюсь на внешний интерфейс, эту штука бывает блочит...
-
Слушайте, а SURICATA SMTP data command rejected что вообще проверяет то?
Просто в сети есть почтовый сервер на postfix'е, к нему проброшены соответствующие порты. В принципе, там своих проверок до фига, в т.ч. и по некоторым blacklist'ам, но спам так или иначе все равно проходит. А сейчас я смотрю, что в suricate большенство блокировок идет, как раз, со значением SURICATA SMTP data command rejected. Пока не скажу меньше ли стало спама, просто пока не очень понятно, что суриката в принципе в данном случае проверяет.