Настройка IDS/IPS Suricata



  • Не нашел в русскоязычной ветке тему про сурикату, да и англоязычной они какие-то все узкозаточенные, а вопросов у меня, возможно, будет много, да и с английским есть вопросы…

    Для начала вот какой вопрос. Запустил ее почти в дефолте. Повесил на WAN. Во внутренней сети (со стороны lan) находится DNS-сервер на BIND'е. У него в настройках сделано 2 зоны через "view", для внутренней зоны он мастер и в А-записях указаны частные адреса, а вообще сам по себе он слейв и зону срисовывает с nic.ru, ну и соответственно в качестве адреса dns-сервера фигурирует этот же ip-адрес адрес с nic.ru. Короче, вопрос пока еще не в этом, а в том, что как только запускается suricata, то тут же наш dns-сервер перестает резолвить запросы. Другими словами, из внутренней сети трафик в инет бегает, но имена не резолвятся.

    В логах suricata пишет ошибку: SURICATA IPv4 invalid checksum

    На скриншоте показан лог, которые ведет суриката, там указаны адреса. Этих адресов я не знаю, но адресов нашей частной сети и адреса нашего dns-сервера там нет, но тем не менее, ничего не резолвится.

    Хотелось бы для начала понять, что это за ошибка и с чем ее едят? Можно отключить конечно через вкладку WAN Rules, но для начала хотелось бы понять...




  • Доброе.
    Я этого зверька после установки еще неделю плотно обучал , что блокировать, а что нет.
    Там в настройках можно указывать какие адреса\сети ей не трогать. Есть дефолтные, но можно и свое добавить.



  • zander

    Это NS-ки

    217.20.149.60 IP address information
    Location
    Country
    RU
    
    Autonomous System
    49988 (Odnoklassniki Ltd)
    
    Passive DNS replication
    VirusTotal's passive DNS only stores address records. The following domains resolved to the given IP address.
    2015-10-27 ns2.ok.ru
    2014-09-24 ns2.odnoklassniki.ru
    

    Я думаю можно отключить в suricata проверку контрольной суммы пакета.

    Пускай этим занимается сетевая карта.



  • smils,
    так и сделал, выключил этот invalid checksum по ip4, tcp и udp… странно оно работает

    И судя по всему, SURICATA STREAM ESTABLISHED retransmission packet before last ack - тоже нужно выключать или я не прав? Просто со всеми этими задержками и прочими заморочками у провайдеров, эти пакеты переставляются, когда угодно. Не скажу, что юзеры внутри сети жалуются на недоступность каких-то сайтов из-за этого, но меня самого, когда я удаленно цепляюсь на внешний интерфейс, эту штука бывает блочит...



  • Слушайте, а SURICATA SMTP data command rejected что вообще проверяет то?

    Просто в сети есть почтовый сервер на postfix'е, к нему проброшены соответствующие порты. В принципе, там своих проверок до фига, в т.ч. и по некоторым blacklist'ам, но спам так или иначе все равно проходит. А сейчас я смотрю, что в suricate большенство блокировок идет, как раз, со значением SURICATA SMTP data command rejected. Пока не скажу меньше ли стало спама, просто пока не очень понятно, что суриката в принципе в данном случае проверяет.


Log in to reply